Afficher les détails du package dans CAM Espace de travail

  • Rversion finale: Xanadu
  • Mis à jour 8 août 2024
  • 5 minutes de lecture

    • Utilisez la page de vue d’ensemble du package d’autorisation pour afficher les documents et les preuves qui vous aident à évaluer la posture de sécurité de votre organisation.

    Avant de commencer

    Rôle requis : sn_irm_cont_auth.authorization_official, sn_irm_cont_auth.information_owner, sn_irm_cont_auth.info_system_sec_manager, sn_irm_cont_auth.info_system_sec_officer, sn_irm_cont_auth.sec_control_assessor, sn_irm_cont_auth.system_owner, sn_irm_cont_auth.scheduler, sn_irm_cont_auth.system_user, sn_irm_cont_auth.admin

    Procédure

    1. Accédez à la Tout > Espace de travail CAM.
    2. Pour accéder à la page Listes, sélectionnez l’icône Listes (icône Listes).
    3. Dans les packages d’autorisation de la liste RMF du volet gauche, sélectionnez un enregistrement de package d’autorisation dans le volet droit.
      Le composant d’exécution pas à pas affiche l’état actuel du package et la feuille de route pour atteindre l’état de surveillance.

      Un bref GIF montrant les widgets d’une page de vue d’ensemble du package d’autorisation.

      Résumé de la conformité
      Affiche le nombre total de contrôles contenus dans ce package. Les nombres de répartitions du contrôle hérité et des contrôles non applicables du package sont également affichés. Les contrôles implémentés contiennent le pourcentage de contrôles à l’état Surveillance.
      Allocation de contrôle
      Contrôles regroupés par famille et catégorisés comme spécifiques au système et hybrides.
      Vue d'ensemble
      Affiche le nombre total de contrôles, de tests de contrôle et de POA&M ainsi que leur état.
      Détails
      Détails plus granulaires des contrôles dans le widget des exigences de contrôle, détails des tests de contrôle dans le widget des procédures d’évaluation.
    4. Sélectionnez l’icône de barre latérale (icône de barre latérale).
      La section Détails en surbrillance affiche les éléments suivants :
      • État du système sensible à la confidentialité du package.
      • Le lien vers la limite, s’il est sélectionné, vous aide à accéder à la limite d’autorisation à laquelle ce package est associé.
      • La carte Impact affiche l’état de confidentialité, d’intégrité et de disponibilité du package, sur la base duquel l’impact du package est déterminé.
      • Les utilisateurs qui ont un rôle clé à jouer dans la mise à jour du package d’autorisation sont également répertoriés.
    5. Pour afficher la relation entre le package d’autorisation sélectionné et tous ses objets associés dans une visualisation distincte, sélectionnez Vue à 360°.
      La vue à 360° est ajoutée dans les pages Vue d’ensemble de Limite d’autorisation, Package d’autorisation, Contrôle, Objectif de contrôle, Superpositions de contrôle, Test de contrôle, Modèle de test, Plan de test, Engagements, et dans les pages Détails de l’indicateur, du modèle d’indicateur et du POA&Ms.

      Vue à 360° de tous les éléments associés au dossier d’autorisation.

    6. Sélectionnez Générer SSP pour générer un plan de sécurité système (SSP).
      Vous pouvez également générer des rapports d’artefact ATO tels que le rapport d’évaluation de la sécurité (SAR) et le plan d’actions et de jalons (POA&M) en sélectionnant l’icône Actions supplémentaires (icône Actions supplémentaires).

      Pour plus d’informations sur les artefacts ATO, reportez-vous CAM à la section Générer des artefacts ATO pour un package d’autorisation.

    7. Pour générer le SSP OSCAL, sélectionnez l’option Exporter le SSP OSCAL dans l’icône Actions supplémentaires (icône Actions supplémentaires).
      Pour plus d'informations, consultez Exportation du catalogue, du profil et du SSP au format OSCAL et Exporter les données au format OSCAL.
    8. Pour passer à l’étape précédente du package d’autorisation et mettre à jour tous les détails, sélectionnez l’option Retour à l’étape précédente dans l’icône Actions supplémentaires (icône Actions supplémentaires).
      Toutes les actions effectuées lorsque vous êtes passé à l’état actuel sont inversées si vous choisissez l’action Retour à l’étape précédente . Par exemple, si le package est à l’état Implémenter, lorsque il revient à l’état Sélection, tous les contrôles existants qui sont générés sont mis hors service. Dans l’état Sélectionner, vous pouvez revoir les contrôles de la base de référence et prendre les mesures nécessaires si nécessaire. Cependant, cette opération ne peut être effectuée que par un Autorisation et surveillance en continu administrateur (sn_irm_cont_auth.admin).
    9. Pour afficher les contrôles associés au package d’autorisation, sélectionnez la liste connexe Contrôles .
      1. Sélectionnez un contrôle dans la liste.
        Dans Autorisation et surveillance en continu l’application, vous pouvez afficher la catégorie d’allocation du contrôle dans l’en-tête de la page Vue d’ensemble du contrôle. L’allocation des contrôles est soit spécifique au système, soit hybride.
      2. Sélectionnez l’icône de barre latérale ( icône de barre latérale) pour afficher les détails de référence du NIST.
      3. Sélectionnez la liste connexe Détails .
        La famille à laquelle appartient l’objectif du contrôle peut être connue par les champs Famille et ID de famille . Ces champs sont en lecture seule dans le formulaire Contrôle.

        La liste d’allocation des contrôles de la page de vue d’ensemble du package d’autorisation affiche les contrôles regroupés par leur famille, séparés en spécifiques au système et hybrides.

    10. Pour hériter des exigences d’un contrôle de base de référence, sélectionnez un seul objectif de contrôle dans l’onglet Contrôles de la base de référence .
      Vous devez avoir une exigence implémentée vous-même et les exigences restantes peuvent être héritées des fournisseurs de contrôle communs.

      Le package doit avoir l’état Sélectionner. Seuls les fournisseurs de contrôle communs avec des exigences de contrôle peuvent être utilisés pour créer des contrôles hybrides.

      1. Sélectionnez Créer un hybride.
        La fenêtre contextuelle Créer un contrôle hybride répertorie les packages en groupes.

        Créez une fenêtre contextuelle de contrôle hybride.

      2. Entrez un package dans le champ Package d’autorisation (facultatif).
        Vous pouvez saisir tous les packages dont vous avez besoin, parmi lesquels vous pouvez sélectionner les exigences.
      3. Sélectionnez les exigences à partir des regroupements de packages, en laissant une ou plusieurs exigences d’auto-implémentation pour ce contrôle.
        Vous créez un contrôle hybride, pour lequel l’exigence est héritée du package que vous avez sélectionné.
      4. Sélectionnez Ajouter.
    11. Pour accéder à l’objectif de contrôle associé, sélectionnez le lien vers l’objectif de contrôle dans la barre latérale.
      La référence pour l’objectif de contrôle, approvisionnée par le NIST, est capturée en tant qu’ID de source dans l’en-tête de l’objectif de contrôle.

      Les contrôles sont regroupés en tant que famille et abrégés avec un ID défini comme ID de famille. Ces champs sont modifiables et vous aident à identifier le groupe auquel le contrôle appartient et sont utilisés dans la section Allocation des contrôles à des fins de génération de rapports. Le contenu de Famille et de Family ID est mis à jour en fonction de la norme NIST 800-53. Pour plus d'informations, consultez Détails des exigences de contrôle dans la vue de l’objectif de contrôle CAM et des formulaires de contrôle.

      1. Sélectionnez la liste connexe Objectifs de contrôle connexes.
        Tous les objectifs de contrôle qui ont un impact sur l’implémentation du package, mais qui appartiennent à des familles différentes, sont regroupés en tant qu’objectifs de contrôle connexes. Ces objectifs de contrôle proviennent du NIST. Tous les contrôles associés dans un package basé sur les objectifs de contrôle mappés sont liés en tant qu’objectifs de contrôle associés.

        La liste connexe des contrôles associés contient des contrôles de l’objectif de contrôle connexe avec la même entité.

      2. Pour ajouter des objectifs de contrôle connexes, sélectionnez Ajouter.
      3. Sélectionnez les objectifs de contrôle, puis cliquez sur Ajouter.
        La liste affiche les objectifs de contrôle qui ne sont pas déjà ajoutés à la liste des objectifs de contrôle connexes du package.