Étape 3 RMF : sélectionner des contrôles pour un package d’autorisation

  • Rversion finale: Xanadu
  • Mis à jour 6 août 2024
  • 3 minutes de lecture

    • Lorsque les niveaux d’impact du package ont été approuvés, il est temps de sélectionner les contrôles de base de référence.

    Avant de commencer

    Rôle requis : Pour écrire dans la table sn_im_cont_baseline_control_objective : sn_irm_cont_auth.system_owner, sn_irm_cont_auth.info_system_sec_officer, sn_irm_cont_auth.admin

    Pour accéder à Marquer comme non applicable : sn_irm_cont_auth.info_system_sec_officer, sn_irm_cont_auth.info_system_sec_manager, sn_irm_cont_auth.admin.

    GRC Autorisation et surveillance en continu

    Les tests de démarrage rapide pour GRC : Autorisation et surveillance en continu nécessitent l'activation du module d'extension Autorisation et surveillance en continu (com.sn_compliance) et le chargement des données de démonstration.

    Tableau 1. GRC : suite de tests de démarrage rapide pour Autorisation et surveillance en continu
    Test Description Version
    GRC : le propriétaire du système crée et valide les responsabilités et rôles d'un AB et d'un AP Le propriétaire du système crée et valide les responsabilités et rôles pour une limite d'autorisation et un package d'autorisation.

    Les propriétaires d'informations et l'utilisateur système sont pré-renseignés lors de la sélection de la limite d'autorisation.

    		 Quebec (compatible avec Paris et Orlando)
    GRC : visibilité des modules d'application pour la validation du propriétaire du système Vérifiez que le profil du propriétaire du système est en mesure d'afficher le menu Autorisation et surveillance en continu et les modules suivants dans ce menu :
    • Toutes les limites d'autorisation
    • Tous les packages d'autorisation
    • Bibliothèque de types d'informations
    • Superpositions de contrôle
    • Objectifs de contrôle
    • Contrôles
    • Tous les engagements
    		 Quebec (compatible avec Paris et Orlando)
    GRC : le propriétaire du système demande le module Première approbation et Mes approbations Le propriétaire du système demande une approbation. Quebec (compatible avec Paris et Orlando)
    SO : créer et valider les responsabilités et rôles d'un AB et d'un AP Vérifiez si un propriétaire du système peut créer une Limite d'autorisation en remplissant les champs du formulaire Limite d'autorisation.

    Vérifiez également si le même SO peut créer un Package d'autorisation à partir de la vue du formulaire.

    		 Quebec (compatible avec Paris et Orlando)

    Pour en savoir plus sur Autorisation et surveillance en continu, consultez la rubrique Autorisation et surveillance en continu.

    Pourquoi et quand exécuter cette tâche

    Lorsque l’approbation a été reçue sur le formulaire de package d’autorisation, un champ de superposition de contrôles et une série de listes connexes de contrôles sont apparus sur le formulaire.

    Procédure

    1. Sélectionnez la liste connexe Contrôles de la base de référence .
      La liste affiche les contrôles de la base de référence pour le niveau d’impact calculé du package. Le nombre de contrôles à implémenter (tel que défini par le NIST) dépend du niveau d’impact (élevé, modéré et faible).
    2. Vous pouvez effectuer les actions suivantes dans la liste des contrôles.
      Tableau 2. Actions sur les contrôles de la base de référence
      Action Description
      Ajouter des contrôles à la liste Sélectionnez Ajouter, sélectionnez les contrôles que vous souhaitez ajouter, puis sélectionnez Créer des contrôles de base de référence.
      Ajouter des contrôles à l’aide d’une superposition de contrôle Sélectionnez une superposition de contrôle dans le champ Superpositions de contrôle .
      Remarque :
      Les superpositions de confidentialité et d’autres types de superpositions de contrôle peuvent être imposées par les organismes gouvernementaux, mais vous pouvez les créer pour ajouter un certain nombre de contrôles à votre liste.
      Identifier certains contrôles comme n’étant pas applicables

      Sélectionnez les contrôles, sélectionnez Sélectionner, entrez une justification, puis sélectionnez Confirmer.

      Les contrôles que vous avez marqués de cette façon sont supprimés de la liste des contrôles de la base de référence vers la liste connexe des contrôles non applicables .
      Hériter des contrôles des contrôles communs

      Vous pouvez créer des contrôles communs auxquels d’autres contrôles subordonnés peuvent être affectés afin qu’ils puissent hériter de conseils en matière de risques. Par exemple, si vous avez un contrôle qui gère une installation entière, vous pouvez identifier les contrôles connexes qui hériteront de la protection et de la conformité du contrôle commun.

      Pour créer un contrôle commun, sélectionnez le contrôle, sélectionnez Créer un contrôle commun, sélectionnez OK pour confirmer. Pour en savoir plus sur l’autorisation d’un contrôle à hériter d’un contrôle commun, reportez-vous à la section Hériter d’un contrôle commun.
    3. Sélectionnez Demander l’approbation.

      Une demande d’approbation est envoyée à l’agent d’autorisation, qui accède à Mes approbations à partir du volet de navigation et passe en revue les informations contenues dans le package. Lorsque l’approbation est reçue, le package passe à l’état Implémenter .