Configurer des contrôles de base de référence pour générer des contrôles et implémenter des exigences

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 6 minutes de lecture

    • Utilisez les contrôles de base de référence pour hériter d’un contrôle, marquer un contrôle comme commun ou créer un contrôle hybride. Créez un contrôle hybride pour hériter partiellement des exigences des contrôles communs ; les exigences restantes sont créées pour le contrôle qui a été généré à partir du contrôle de la base de référence.

    Avant de commencer

    Rôle requis : sn_irm_cont_auth.system_owner, sn_irm_cont_auth.info_system_sec_officer, sn_irm_cont_auth.info_system_sec_manager

    Pourquoi et quand exécuter cette tâche

    Les contrôles hybrides vous donnent non seulement la possibilité d’hériter d’exigences partielles des contrôles communs, mais vous donnent également la flexibilité nécessaire pour tirer le meilleur parti des exigences de contrôle communes tout en implémentant vous-même les exigences restantes pour ce contrôle.

    Il CAM existe deux façons d’hériter des contrôles des objectifs de contrôle provenant de la norme NIST 800-53-r5 :
    Hériter du fournisseur
    Le contrôle est hérité directement et complètement. Par exemple, si le fournisseur commun, le bâtiment A, fournit un objectif de contrôle qui est la prévention des incendies, et que cet objectif de contrôle a environ trois exigences différentes, à savoir l’alarme incendie, la détection de fumée et l’arrosage, alors le contrôle est directement hérité en l’identifiant comme un contrôle commun.
    Remarque :
    Un contrôle associé à un package d’autorisation peut être un fournisseur commun à un autre package d’autorisation si le contrôle est marqué comme fournisseur de contrôle commun dans son package d’autorisation et que ce package particulier doit être dans l’état Surveillance. Ce n’est qu’à ce moment-là qu’on l’appelle un contrôle commun.
    Héritage hybride
    Le contrôle est partiellement hérité. Dans ce cas, une ou plusieurs exigences du contrôle sont héritées. Si l’on considère l’exemple précédent, l’héritage hybride est activé dans les combinaisons suivantes :
    • L’une des exigences, telle que l’alarme incendie, peut être héritée du bâtiment A, et les deux autres exigences peuvent être mises en œuvre automatiquement.
    • L’une des exigences, telle que l’alarme incendie, peut être héritée du bâtiment A, et une autre exigence, telle que la détection de fumée, peut être héritée du bâtiment B. Le reste peut être auto-implémenté.
    • Toutes les exigences sont héritées. Il ne s’agit pas d’un héritage partiel, car au moins une des conditions doit être héritée et l’une d’entre elles doit être mise en œuvre automatiquement. Par conséquent, cet héritage ne peut pas être qualifié d’héritage hybride.
    Remarque :
    Le rôle et la responsabilité du dossier d’autorisation doivent être attribués à un responsable des autorisations (AO) qui doit examiner et approuver le dossier d’autorisation lorsqu’il passe d’un état à un autre. Le responsable de la sécurité du système d’information (ISSO) est tenu de marquer un contrôle commun, de créer un contrôle hybride ou d’identifier un contrôle comme non applicable, car ces objectifs de contrôle proviennent du NIST. Une fois que le responsable des autorisations (AO) a fourni l’approbation, le package d’autorisation passe à l’état Implémenter.

    Procédure

    1. Accédez à la Tout > Continuous Authorization and Monitoring > Tous les packages d'autorisation.
    2. Sélectionnez un enregistrement de package d’autorisation qui se trouve dans l’état Sélectionner et auquel des contrôles de base de référence ont été ajoutés.
      Dans l’état Sélectionner , tous les contrôles de base de référence sont ajoutés et vous pouvez identifier le rôle de chaque contrôle de base de référence. Vous pouvez hériter d’un contrôle, marquer un contrôle comme commun ou créer un contrôle hybride.
    3. Pour affecter des contrôles de base de référence d’un fournisseur de contrôle commun en tant que contrôles communs, sélectionnez les objectifs de contrôle dans l’onglet Contrôles de la base de référence que vous souhaitez affecter en tant que contrôles communs.
      1. Sélectionnez Marquer comme commun , puis OK dans la fenêtre contextuelle de confirmation.
      2. Sélectionnez Demander l’approbation pour demander l’approbation.
        Après approbation, le package d’autorisation passe à l’état Implémentation. Avant de passer à l’état d’implémentation, l’option Crée automatiquement des contrôles dans le formulaire d’objectif de contrôle doit être vraie pour tous les contrôles de base de référence et les contrôles hybrides. Dans le cas contraire, un message d’erreur s’affiche avec la liste des objectifs de contrôle vous invitant à définir l’option Crée automatiquement les contrôles sur true.
      3. Sélectionnez le lien des objectifs de contrôle dans le message et activez l’option Crée automatiquement des contrôles pour tous les objectifs de contrôle dans le formulaire d’objectif de contrôle respectif.
      Une fois le package d’autorisation approuvé, les contrôles sont créés dans l’onglet Contrôles. Vous pouvez ensuite faire passer le package d’autorisation à l’état Évaluer. Dans cet état, l’évaluateur des contrôles de sécurité (SCA) est requis en tant que responsable de l’engagement, lorsque l’engagement est créé pour tester les contrôles. Une fois cet état passé, le package d’autorisation passe à l’état Autoriser.

      Pour qu’un package d’autorisation soit disponible en tant que fournisseur de contrôle commun pour d’autres packages d’autorisation, il doit être dans l’état Moniteur. Une fois que le package d’autorisation est passé à l’état de surveillance et que le marqueur de fournisseur de contrôle commun est défini sur vrai pour quelques-uns des contrôles de base de référence, les contrôles qui ont été générés pour ces contrôles de base de référence deviennent des fournisseurs de contrôle communs pour d’autres packages d’autorisation.

    4. Pour hériter des exigences d’un contrôle commun d’un fournisseur de contrôle commun particulier ou créer un contrôle hybride, sélectionnez un seul objectif de contrôle dans l’onglet Contrôles de la base de référence.
      1. Sélectionnez Créer un hybride.
        La fenêtre contextuelle Créer un contrôle hybride répertorie les entités dans les groupes. Le regroupement par entité est utile lorsque d’autres numéros d’exigence sont ajoutés au numéro de référence d’un objectif de contrôle. Vous pouvez hériter partiellement des exigences de certains des fournisseurs de contrôle communs et implémenter vous-même le reste des exigences. Si vous sélectionnez toutes les exigences de contrôle de toutes les catégories de fournisseurs pour l’héritage sans une seule exigence auto-implémentée, les exigences ne sont pas partiellement héritées, mais deviennent un héritage complet de toutes les exigences, ce qui n’est pas autorisé. Au moins une exigence auto-implémentée est requise pour créer un contrôle hybride.
      2. Sélectionnez les exigences à partir des regroupements d’entités, en laissant une ou plusieurs exigences d’auto-implémentation pour ce contrôle.
      3. Sélectionnez Ajouter.
        La liste connexe des contrôles hybrides s’affiche avec les contrôles de base de référence sélectionnés. Un contrôle de base de référence est un m2m d’un objectif de contrôle et d’un package d’autorisation.
        Figure 1. Actions d’interface utilisateur sur les contrôles de la base de référence
        Configurez des contrôles de base de référence pour hériter des contrôles et des besoins.
      4. Sélectionnez l’icône Afficher/masquer les listes hiérarchiques ( icône Afficher ou masquer les listes hiérarchiques.)pour afficher les exigences héritées.
        Toutes les autres exigences qui ne sont pas répertoriées ici sont mises en œuvre automatiquement.
        Remarque :
        Seuls les fournisseurs de contrôle communs avec des exigences de contrôle peuvent être utilisés pour créer des contrôles hybrides.
    5. Pour hériter des contrôles d’un fournisseur commun, sélectionnez un objectif de contrôle dans la liste connexe Contrôles de la base de référence.
      1. Sélectionnez Hériter du fournisseur , puis sélectionnez la liste Contrôle commun dans la fenêtre contextuelle Hériter du contrôle commun.
      2. Sélectionnez les contrôles dont vous souhaitez hériter, puis sélectionnez Confirmer.
        Les entités des contrôles que vous sélectionnez deviennent le fournisseur commun. Pour chacun de ces packages d’autorisation, il existe une liste connexe des contrôles hérités. Le champ Hérité de de cette liste connexe vous donne des informations sur le contrôle qui est le fournisseur de contrôle commun.
        Remarque :
        Pour hériter d’un fournisseur, qui est un héritage direct, il se peut qu’il n’y ait aucune exigence pour le contrôle.
    6. Pour marquer un contrôle de base de référence particulier comme non applicable afin qu’il soit hors du flux de travail et ne permette pas la génération de contrôles, sélectionnez un contrôle de base de référence
      1. Sélectionnez Non applicable.
      2. Saisissez une note pour justifier votre action dans le champ Justification , puis sélectionnez Confirmer.
        Cette action modifie l’état du contrôle de base de référence sélectionné en Non implémenté.
      Dans l’état Sélectionner , vous avez effectué la configuration du type de contrôles à générer. Une fois la configuration terminée, vous pouvez approuver le package d’autorisation.
    7. Sélectionnez Demander l’approbation.
      Le package d’autorisation passe ensuite à l’état Implémenter . Dans cet état, en fonction de la configuration, des contrôles sont créés.