Configurer des contrôles de base de référence pour générer des contrôles et implémenter des exigences

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 6 minutes de lecture

    • Utilisez les contrôles de base de référence pour hériter d’un contrôle, marquer un contrôle comme commun ou créer un contrôle hybride. Créez un contrôle hybride pour hériter partiellement des exigences des contrôles communs et les exigences restantes sont créées pour le contrôle qui a été généré à partir du contrôle de base de référence.

    Avant de commencer

    Rôle requis : sn_irm_cont_auth.system_owner, sn_irm_cont_auth.info_system_sec_officer

    Pourquoi et quand exécuter cette tâche

    Les contrôles hybrides vous donnent non seulement la possibilité d’hériter d’exigences partielles de contrôles communs, mais vous donnent également la flexibilité nécessaire pour tirer le meilleur parti des exigences de contrôle communes tout en implémentant vous-même les exigences restantes pour ce contrôle.

    Il CAM existe deux façons d’hériter des contrôles des objectifs de contrôle provenant de la norme NIST 800-53-r5 :
    Héritage complet
    Le contrôle est hérité directement et complètement. Par exemple, si le fournisseur commun, le bâtiment A, fournit un objectif de contrôle qui est la prévention des incendies, et que cet objectif de contrôle a environ trois exigences différentes, à savoir l’alarme incendie, la détection de fumée et l’aspersion, alors le contrôle est directement hérité en l’identifiant comme un contrôle commun.
    Remarque :
    Un contrôle associé à un package d’autorisation peut être un fournisseur commun à un autre package d’autorisation si le contrôle est marqué comme fournisseur de contrôle commun dans son package d’autorisation et que ce package particulier doit être à l’état Surveillé. Ce n’est qu’à ce moment-là qu’il est appelé contrôle commun.
    Héritage hybride
    Le contrôle est partiellement hérité. Dans ce cas, seules une ou quelques-unes des exigences du contrôle sont héritées. Si l’on considère l’exemple précédent, l’héritage hybride est activé dans les combinaisons suivantes :
    • L’une des exigences, telle que l’alarme incendie, peut être héritée du bâtiment A, et les deux autres exigences peuvent être mises en œuvre automatiquement.
    • L’une des exigences telles que l’alarme incendie peut être héritée du bâtiment A, et une autre exigence telle que la détection de fumée peut être héritée du bâtiment B. Le reste peut être auto-implémenté.
    • Toutes les exigences sont héritées. Cet héritage n’est pas un héritage partiel, car au moins une des conditions doit être héritée et l’une d’entre elles doit être mise en œuvre automatiquement. Par conséquent, cet héritage ne peut pas être qualifié d’héritage hybride.
    Remarque :
    Le rôle et la responsabilité du dossier d’autorisation doivent être affectés à un fonctionnaire chargé des autorisations (AO) qui doit examiner et approuver le dossier d’autorisation lorsqu’il passe d’un état à un autre. L’officier de sécurité du système d’information (ISSO) est tenu de marquer un contrôle commun, de créer un contrôle hybride ou d’identifier un contrôle comme non applicable, car ces objectifs de contrôle proviennent du NIST. Une fois que le fonctionnaire d’autorisation (AO) a fourni l’approbation, le package d’autorisation passe à l’état Implémenter.

    Procédure

    1. Accédez à la Tous > Continuous Authorization and Monitoring > Tous les packages d'autorisation.
    2. Sélectionnez un enregistrement de package d’autorisation qui a l’état Sélectionner et auquel les contrôles de base de référence ont été ajoutés.
      À l’état Sélectionner , tous les contrôles de base de référence sont ajoutés et vous pouvez identifier le rôle de chaque contrôle de base de référence. Vous pouvez hériter d’un contrôle, marquer un contrôle comme commun ou créer un contrôle hybride.
      Figure 1. Actions d’interface utilisateur sur les contrôles de base de référence
      Configurez des contrôles de base de référence pour hériter des contrôles et des exigences.
    3. Pour affecter des contrôles de base de référence à partir d’un fournisseur de contrôle commun en tant que contrôles communs, sélectionnez les objectifs de contrôle dans l’onglet Contrôles de la base de référence que vous souhaitez affecter en tant que contrôles communs.
      1. Sélectionnez le bouton Marquer comme commun .
      2. Sélectionnez OK dans la fenêtre contextuelle de confirmation.
      3. Cliquez sur le bouton Demander l’approbation pour demander l’approbation.
        Après approbation, le package d’autorisation passe à l’état Implémenter. Avant de passer à l’état Implémenter, l’option Créer automatiquement des contrôles du formulaire d’objectif de contrôle doit être définie sur true pour tous les contrôles de base de référence et les contrôles hybrides. Dans le cas contraire, un message d’erreur s’affiche avec la liste des objectifs de contrôle vous invitant à définir l’option Crée automatiquement des contrôles sur true.
      4. Sélectionnez le lien des objectifs de contrôle dans le message et activez l’option Crée automatiquement des contrôles pour tous les objectifs de contrôle dans le formulaire d’objectif de contrôle respectif.
      Une fois le package d’autorisation approuvé, les contrôles sont créés dans l’onglet Contrôles. Vous pouvez ensuite faire passer le package d’autorisation à l’état Évaluer. Dans cet état, l’évaluateur des contrôles de sécurité (SCA) est requis en tant que responsable de l’engagement, lorsque l’engagement est créé pour tester les contrôles. Une fois cet état passé, le package d’autorisation passe à l’état Autoriser.

      Pour qu’un package d’autorisation soit disponible en tant que fournisseur de contrôle commun pour d’autres packages d’autorisation, il doit être à l’état Surveiller. Une fois que le package d’autorisation est passé à l’état Surveillance et que le marqueur Fournisseur de contrôle commun est défini sur vrai pour certains des contrôles de base de référence, les contrôles qui ont été générés pour ces contrôles de base de référence deviennent des fournisseurs de contrôle communs pour d’autres packages d’autorisation.

    4. Pour hériter des exigences d’un contrôle commun d’un fournisseur de contrôle commun particulier ou créer un contrôle hybride, sélectionnez un seul objectif de contrôle dans l’onglet Contrôles de la base de référence.
      1. Sélectionnez le bouton Créer un hybride .
        La fenêtre contextuelle Créer un contrôle hybride répertorie les entités dans les groupes. Le regroupement par entité est utile lorsque d’autres numéros d’exigence sont ajoutés au numéro de référence d’un objectif de contrôle. Vous pouvez hériter partiellement des exigences de certains des fournisseurs de contrôle communs et implémenter vous-même le reste des exigences. Si vous sélectionnez toutes les exigences de contrôle de toutes les catégories de fournisseurs pour l’héritage sans qu’une seule exigence auto-implémentée ne soit pas héritée, les exigences ne sont pas partiellement héritées, mais deviennent l’héritage complet de toutes les exigences, ce qui n’est pas autorisé. Au moins une exigence auto-implémentée est requise pour créer un contrôle hybride.
      2. Sélectionnez les exigences à partir des regroupements d’entités, en laissant une ou plusieurs exigences d’auto-implémentation pour ce contrôle.
      3. Sélectionnez le bouton Ajouter .
        La liste connexe Contrôles hybrides s’affiche avec les contrôles de base de référence sélectionnés. Un contrôle de base de référence est un m2m d’un objectif de contrôle et d’un package d’autorisation.
      4. Sélectionnez l’icône Afficher/masquer les listes hiérarchiques ( icône Afficher ou masquer les listes hiérarchiques.)pour afficher les besoins hérités.
        Toutes les autres exigences qui ne sont pas énumérées ici sont mises en œuvre automatiquement.
        Remarque :
        Seuls les fournisseurs de contrôle communs avec des exigences de contrôle peuvent être utilisés pour créer des contrôles hybrides.
    5. Pour hériter des contrôles d’un fournisseur commun, sélectionnez un objectif de contrôle dans la liste connexe Contrôles de la base de référence.
      1. Sélectionnez le bouton Hériter du fournisseur .
      2. Sélectionnez la liste Contrôle commun dans la fenêtre contextuelle Hériter d’un contrôle commun.
      3. Sélectionnez les contrôles dont vous souhaitez hériter.
      4. Cliquez sur le bouton Confirmer .
        Les entités des contrôles que vous sélectionnez deviennent le fournisseur commun. Pour chacun de ces packages d’autorisation, il existe une liste connexe Contrôles hérités. Le champ Hérité de de cette liste connexe vous donne les informations sur le contrôle qui est le fournisseur de contrôle commun.
        Remarque :
        Pour hériter d’un fournisseur, ce qui est un héritage direct, il ne peut y avoir aucune exigence pour le contrôle.
    6. Pour marquer un contrôle de base de référence particulier comme non applicable afin qu’il soit hors du workflow et n’autorise pas la génération de contrôles, sélectionnez un contrôle de base de référence
      1. Sélectionnez le bouton Non applicable .
      2. Saisissez une note pour justifier votre action dans le champ Justification .
      3. Cliquez sur le bouton Confirmer .
        Cette action modifie l’état du contrôle de base de référence sélectionné en Non implémenté.
      Dans l’état Sélectionner , vous avez effectué la configuration du type de contrôles à générer. Une fois la configuration terminée, vous pouvez approuver le package d’autorisation.
    7. Cliquez sur le bouton Demander l’approbation .
      Le package d’autorisation passe ensuite à l’état Implémenter . Dans cet état, les contrôles sont créés en fonction de la configuration.