Tableaux de bord et rapports NIST RMF Use Case Accelerator
Il NIST RMF Use Case Accelerator contient divers rapports affichés sur différents tableaux de bord, disponibles dans chacune des sections NIST RMF du processus : Catégoriser, Sélectionner, Implémenter, Évaluer, Autoriser et Surveiller.
Remarque :
À partir de la version 10.1.0, le NIST RMF Use Case Accelerator sera pris en charge uniquement pour les clients qui utilisent actuellement le produit. Les nouveaux clients et les clients existants devraient envisager d’utiliser l’application GRC : Continuous Authorization Monitoring. Pour en savoir plus, reportez-vous Continuous Authorization and Monitoringà la section .
| Rapports | Objectif |
|---|---|
| Vue d’ensemble de la conformité de sécurité | Fournit un résumé global de conformité des politiques de sécurité. |
| Vue d’ensemble de la conformité des profils | Fournit un résumé de conformité global des profils implémentant des contrôles de sécurité. |
| Détails de la conformité de sécurité | Fournit un résumé détaillé de la conformité des politiques de sécurité. |
| Carte thermique des risques inhérents à la sécurité | Carte thermique des risques de sécurité basée sur les résultats qualitatifs inhérents des risques. |
| Carte thermique des risques de sécurité résiduels | Carte thermique des risques de sécurité basée sur les résultats qualitatifs résiduels des risques. |
| Risque de sécurité inhérent | Graphique à bulles des risques de sécurité basé sur la moyenne des résultats quantitatifs inhérents des risques. |
| Risque de sécurité résiduel | Graphique à bulles des risques de sécurité basé sur la moyenne des résultats quantitatifs inhérents des risques. |
| Perte exposée annuelle inhérente Risque de sécurité | Fournit un aperçu de la perte estimée annualisée inhérente (ALE) pour différents risques de sécurité. |
| Perte exposée annuelle résiduelle Risque de sécurité | Fournit un aperçu de la perte estimée annualisée résiduelle (ALE) pour différents risques de sécurité. |
| Résumé des problèmes | Problèmes de tracé notés pour les politiques de sécurité semaine par semaine. |
| Cibles sans contrôles de la base de référence | Cibles pour lesquelles une analyse de l’impact de la sécurité n’a pas été réalisée sans qu’aucun contrôle de base de référence ne soit généré. Les contrôles de base sont un ensemble recommandé de contrôles de sécurité du National Institute of Standards and Technology (NIST) qui, lorsqu’ils sont mis en œuvre et jugés efficaces, atténueraient les risques de sécurité tout en se conformant aux exigences de sécurité. Les contrôles de base de référence à implémenter peuvent être déterminés à partir des déclarations de politique de base de référence recommandées sur la cible. |
| Cibles en attente Analyse de l’impact | L’analyse d’impact sur la sécurité, lorsqu’elle est effectuée par les organisations, détermine dans quelle mesure les changements proposés ou réels apportés à la cible ou à son environnement d’exploitation peuvent affecter ou ont affecté l’état de sécurité de la cible. Les modifications apportées à la cible ou à son environnement d’exploitation peuvent affecter les contrôles de sécurité actuellement en place (y compris les contrôles spécifiques au système, hybrides et communs), entraîner de nouvelles vulnérabilités dans la cible ou générer des exigences pour de nouveaux contrôles de sécurité qui n’étaient pas nécessaires auparavant. |
| État des cibles | Cibles organisées en fonction de l’état actuel du processus de gestion des risques. Le processus de gestion des risques est fourni par le cadre de gestion des risques (RMF) du National Institute of Standards and Technology (NIST), qui est un processus discipliné et structuré qui intègre les activités de sécurité de l’information et de gestion des risques. |
| Impact de la confidentialité | Cibles regroupées pour chaque valeur d’évaluation de confidentialité. Le National Institute of Standards and Technology (NIST) définit la confidentialité comme la préservation des restrictions autorisées à l’accès et à la divulgation des informations, y compris les moyens de protéger la vie privée et les informations exclusives. La confidentialité est exprimée sous forme de valeurs élevées, modérées et faibles. |
| Impact sur l’intégrité | Cibles regroupées pour chaque valeur de cote d’intégrité. Le National Institute of Standards and Technology (NIST) définit l’intégrité comme la protection contre la modification ou la destruction inappropriée des informations, et inclut la garantie de la non-répudiation et de l’authenticité des informations. L’intégrité est exprimée sous forme de valeurs élevées, modérées et faibles. |
| Impact sur la disponibilité | Cibles regroupées pour chaque valeur d’évaluation de disponibilité. Le National Institute of Standards and Technology (NIST) définit la disponibilité comme la garantie d’un accès et d’une utilisation rapides et fiables de l’information. La disponibilité est exprimée sous forme de valeurs élevée, modérée et faible. |
| Impact | Cibles regroupées pour chaque valeur de cote d’impact. Le National Institute of Standards and Technology (NIST) définit l’impact comme la perte de confidentialité, d’intégrité ou de disponibilité susceptible d’avoir : (i) un effet négatif limité ; (ii) d’un effet préjudiciable grave ; ou (iii) un effet défavorable grave ou catastrophique sur les opérations de l’organisation, les actifs de l’organisation ou les individus. Alors que l’analyse d’impact sur la sécurité est définie comme la détermination par les organisations de la mesure dans laquelle l’état de sécurité est affecté. L’impact est exprimé sous forme de valeurs élevées, modérées et faibles. |
| Examiner les contrôles de la base de référence | Fournit une vue d’ensemble de l’étape de sélection Gestion des risques du NIST du cadre de travail afin de faciliter l’examen des déclarations de politique et des contrôles de base de référence. NIST RMF > Sélectionner > Examiner les contrôles de la base de référence lance ce tableau de bord |
| Déclaration de politique de sécurité de base de référence | Les déclarations de politique de sécurité de base sont un ensemble recommandé de définitions de contrôle de sécurité du National Institute of Standards and Technology (NIST) qui, lorsqu’elles sont mises en œuvre et jugées efficaces, atténueraient les risques de sécurité tout en se conformant aux exigences de sécurité. |
| Contrôles de sécurité de base de référence | Les contrôles de sécurité de base sont un ensemble recommandé de contrôles de sécurité du National Institute of Standards and Technology (NIST) qui sont en cours de mise en œuvre et qui, s’ils sont jugés efficaces, atténueraient les risques de sécurité tout en se conformant aux exigences de sécurité. |
| Rapports | Objectif |
|---|---|
| Déclaration de politique de sécurité de base de référence | Les déclarations de politique de sécurité de base sont un ensemble recommandé de définitions de contrôle de sécurité du National Institute of Standards and Technology (NIST) qui, lorsqu’elles sont mises en œuvre et jugées efficaces, atténueraient les risques de sécurité tout en se conformant aux exigences de sécurité. |
| Contrôles de sécurité de base de référence | Les contrôles de sécurité de base sont un ensemble recommandé de contrôles de sécurité du National Institute of Standards and Technology (NIST) qui sont en cours de mise en œuvre et qui, s’ils sont jugés efficaces, atténueraient les risques de sécurité tout en se conformant aux exigences de sécurité. |
| Rapports | Objectif |
|---|---|
| Déclaration de politique d’assurance de base de référence | Les déclarations de politique d’assurance de sécurité de base sont un ensemble recommandé de définitions de contrôle de sécurité du National Institute of Standards and Technology (NIST) qui sont désignées comme des définitions de contrôle d’assurance qui, lorsqu’elles sont mises en œuvre, augmentent à la fois le renforcement de la sécurité et le degré de confiance que la fonctionnalité est correcte, complète et cohérente et atténuerait les risques de sécurité tout en se conformant aux exigences de sécurité. |
| Contrôles d’assurance de la base de référence | Les contrôles d’assurance de sécurité de base sont un ensemble recommandé de définitions de contrôle de sécurité du National Institute of Standards and Technology (NIST), désigné comme contrôle d’assurance, qui sont mis en œuvre pour augmenter à la fois le renforcement de la sécurité et le degré de confiance dans le fait que la fonctionnalité est correcte, complète et cohérente et qu’elle atténuerait les risques de sécurité tout en se conformant aux exigences de sécurité. |
| Déclarations de politique commune de base de référence | Les déclarations de politique commune de sécurité de base sont un ensemble de définitions de contrôle de sécurité du National Institute of Standards and Technology (NIST). Lorsqu’elles sont désignées comme définitions de contrôle commun par les organisations, elles indiquent qu’elles sont héréditaires par une ou plusieurs cibles organisationnelles. |
| Contrôles communs de base de référence | Les contrôles communs de sécurité de base sont un ensemble de définitions de contrôle de sécurité du National Institute of Standards and Technology (NIST) qui sont en cours d’implémentation et qui, lorsqu’ils sont désignés comme contrôles communs par les organisations, indiquent qu’ils sont héréditaires par une ou plusieurs cibles organisationnelles. |
| Déclaration de politique de compensation de base de référence | Les déclarations de politique de compensation de sécurité de base sont un ensemble de définitions de contrôle de sécurité du National Institute of Standards and Technology (NIST) qui, lorsqu’elles sont désignées comme définitions de contrôle de compensation par les organisations, indiquent qu’elles peuvent être utilisées à la place d’autres contrôles de sécurité et fournissent une protection équivalente ou comparable pour les cibles organisationnelles. |
| Contrôles de compensation de la base de référence | Les contrôles compensatoires de sécurité de base sont un ensemble de définitions de contrôle de sécurité du National Institute of Standards and Technology (NIST) qui sont en cours de mise en œuvre et qui, lorsqu’elles sont désignées comme contrôles compensatoires par les organisations, indiquent qu’elles peuvent être utilisées à la place d’autres contrôles de sécurité et fournissent une protection équivalente ou comparable pour les cibles organisationnelles. |
| Déclarations de politique supplémentaires de base de référence | Les déclarations de politique supplémentaires de sécurité de base sont un ensemble de définitions de contrôle de sécurité du National Institute of Standards and Technology (NIST) qui, lorsqu’elles sont désignées comme définitions de contrôle supplémentaires par les organisations, indiquent qu’elles peuvent être ajoutées aux contrôles de sécurité pour répondre de manière adéquate aux besoins de gestion des risques pour les cibles organisationnelles. |
| Contrôles supplémentaires de la base de référence | Les contrôles supplémentaires de sécurité de base sont un ensemble de définitions de contrôle de sécurité du National Institute of Standards and Technology (NIST) qui sont en cours d’implémentation et qui, lorsqu’elles sont désignées comme contrôles supplémentaires par les organisations, indiquent qu’elles peuvent être ajoutées aux contrôles de sécurité pour répondre de manière adéquate aux besoins de gestion des risques pour les cibles organisationnelles. |
| Rapports | Objectif |
|---|---|
| Attestations de contrôle terminées | Affiche le nombre d’attestations de contrôle NIST Risk Management terminées. |
| Attestations de contrôle Date d’échéance à venir | Affiche le nombre d’attestations de contrôle NIST Risk Management dues dans les 7 jours. |
| Attestations de contrôle dues après 7 jours | Affiche le nombre d’attestations de contrôle NIST Risk Management dues après 7 jours. |
| Attestations de contrôle Date d’échéance manquée | Affiche le nombre d’attestations de contrôle NIST Risk Management dont la date d’échéance est manquée. |
| Attestations de contrôle par profil | Fournit une vue d’ensemble des attestations de contrôle NIST Risk Management regroupées par profils. |
| Attestations de contrôle arrivées à échéance | Fournit une vue d’ensemble des attestations de contrôle NIST Risk Management regroupées par date d’échéance. |
| Évaluations des risques terminées | Affiche le nombre d’évaluations des risques NIST Risk Management terminées. |
| Évaluations des risques Date d’échéance à venir | Affiche le nombre d’évaluations des risques NIST Risk Management dues dans les 7 jours. |
| Évaluations des risques à échéance après 7 jours | Affiche le nombre d’évaluations des risques NIST Risk Management dues après 7 jours. |
| Évaluations des risques Date d’échéance manquée | Affiche le nombre d’évaluations des risques NIST Risk Management qui n’ont pas respecté leur date d’échéance. |
| Évaluations des risques par profil | Fournit une vue d’ensemble des évaluations des risques NIST Risk Management regroupées par profils. |
| Évaluations des risques arrivées à échéance | Fournit une vue d’ensemble des évaluations des risques NIST Risk Management regroupées par date d’échéance. |
| Rapports | Objectif |
|---|---|
| État d’approbation cible | Fournit une vue d’ensemble de l’état actuel des approbations de la cible. |
| Approbateurs responsables des risques | Fournit une vue d’ensemble des cibles telles qu’affectées aux approbateurs responsables des risques. |
| Autorisation des approbateurs officiels | Fournit une vue d’ensemble des cibles telles qu’affectées aux approbateurs officiels autorisants. |
| Rapports | Objectif |
|---|---|
| Profils inefficaces | Nombre total de profils ayant au moins un test de contrôle d’un contrôle de sécurité marqué comme inefficace. |
| Contrôles inefficaces | Nombre total de contrôles de sécurité ayant au moins un test de contrôle marqué comme inefficace. |
| Plans de tests inefficaces | Nombre total de plans de tests ayant au moins un test de contrôle d’un contrôle de sécurité marqué comme inefficace. |
| Contrôles non conformes | Nombre total de contrôles de sécurité avec l’état Non conforme. |
| Risques | Nombre total de risques associés aux contrôles de sécurité. |
| Problèmes | Nombre total de problèmes liés aux contrôles de sécurité et aux risques. |
| Conformité des contrôles | Fournit une vue d’ensemble de la conformité des contrôles de sécurité. |
| Efficacité du profil | Fournit une vue d’ensemble de l’efficacité du profil pour les profils ayant des contrôles de sécurité basés sur l’efficacité des tests de contrôle associés. |
| Efficacité du contrôle | Fournit une vue d’ensemble de l’efficacité du contrôle des contrôles de sécurité en fonction de l’efficacité des tests de contrôle associés. |
| Efficacité de Plan de tests | Fournit une vue d’ensemble de l’efficacité des contrôles de sécurité du plan de tests en fonction de l’efficacité des tests de contrôle associés. |
| Risques | Liste des risques regroupés par profils et associés aux contrôles de sécurité. |