Intégration des exceptions de politique à Réponse aux vulnérabilités
Rversion finale: Xanadu
Mis à jour 1 août 2024
5 minutes de lecture
À partir de la version 10.1, vous pouvez demander des exceptions de politique à l’aide de l’aptitude GRC de gestion des exceptions de politique inhérente à l’application à partir de la Gestion de la politique et de la conformité version 10.3 de l’application Réponse aux vulnérabilités .
Avantages de l’utilisation de l’intégration des exceptions de politique
La demande d’exceptions à l’aide de l’intégration des exceptions de politique avec Gestion de la politique et de la conformité offre les avantages suivants :
Effectuez des évaluations pour recueillir des informations supplémentaires sur les demandes.
Demander des exceptions en fonction d’une politique ou d’un objectif de contrôle spécifique. Cette action montre les effets sur la conformité lorsqu’une exception est approuvée.
Configurez les approbations à déclencher automatiquement en fonction de la cote de risque, de la politique ou de l’objectif de contrôle associé à l’exception de politique.
Fonctionnement de l’intégration des exceptions de politique
Le scénario décrit ici suppose qu’une vulnérabilité a été identifiée dans votre système et que le propriétaire du rattrapage a déterminé qu’un correctif logiciel est nécessaire. Le correctif n’a pas été entièrement testé et le propriétaire demande une exception de politique pour différer le déploiement du correctif jusqu’à ce que les tests soient terminés.
Le diagramme suivant illustre les étapes effectuées par le gestionnaire de conformité et le propriétaire du rattrapage dans chacune des applications.Figure 1. Intégration de l’exception de politique
Remarque :
Le rôle Utilisateur métier GRC (sn_grc.business_user) ou Utilisateur métier – Lite (sn_grc.business_user_lite) est le rôle minimum requis pour émettre une exception de politique à partir d’une application en amont.
Lorsque l’application Réponse aux vulnérabilités a été installée, deux enregistrements d’intégration d’exception de politique sont automatiquement créés et ajoutés au registre d’intégration, l’un pour un groupe de vulnérabilité et l’autre pour un élément vulnérable.Figure 2. Registre d’intégration des exceptions de politique
Pour configurer l’enregistrement des éléments vulnérables, le gestionnaire de conformité effectue les étapes suivantes.
(en option) Crée un ou plusieurs questionnaires à envoyer au demandeur pour recueillir des informations supplémentaires sur la demande d’exception de politique.
Le gestionnaire de conformité définit également des règles de vérification facultatives et des règles d’approbation pour automatiser le processus d’obtention d’approbations pour l’exception de politique.
Si une règle de vérification a été définie pour l’application, les approbateurs désignés sont notifiés que leur approbation est requise. Si des champs dans la demande d’exception de politique n’ont pas été renseignés par le demandeur (par exemple, la politique ou l’objectif du contrôle), ces champs deviennent obligatoires pour les approbateurs. Lorsque les approbateurs ont examiné, terminé et approuvé la demande, celle-ci passe à l’état Analyser et est affectée au gestionnaire de conformité pour une analyse et une approbation plus approfondies.
Dans Gestion de la politique et de la conformité, le gestionnaire de conformité reçoit la demande approuvée et attribue une évaluation des risques à la demande d’exception de politique dans l’onglet Évaluation des risques .Figure 3. Demande d’exception de politique dans l’onglet Évaluation des risques
Lorsque l’enregistrement d’exception de politique est enregistré, les informations de l’onglet Source , y compris l’application source et l’enregistrement source, ainsi que les informations de la liste connexe des éléments vulnérables sont renseignées automatiquement. Le gestionnaire de conformité a maintenant accès à toutes les données nécessaires pour examiner et approuver l’exception de politique.
Dans Gestion de la politique et de la conformité, le gestionnaire de conformité effectue l’évaluation de l’exception si des évaluations ont été configurées. Lorsque l’évaluation est terminée, le gestionnaire de conformité revient à l’onglet Évaluation des risques et met à jour la cote de risque en fonction des résultats de l’évaluation, si nécessaire. Le gestionnaire de conformité renseigne également les champs suivants avec les informations recueillies au cours de l’évaluation.
Tableau 1. Onglet Évaluation des risques
Champ
Description
Description du risque
Fournissez des détails sur le risque associé à cette exception de politique.
Analyse du risque et de l'impact
Fournissez des détails sur votre analyse du risque et de l’impact de l’exception de politique.
Plan d'atténuation des risques
Fournissez des détails sur le plan d’atténuation associé à cette exception de politique.
S’il manque des informations à l’exception de politique, le gestionnaire de conformité peut cliquer sur Demander plus d’informations et ajouter des commentaires pour identifier le type de données nécessaires. Le demandeur est notifié et fournit les informations demandées.
En option, le gestionnaire de conformité peut envoyer l’exception de politique pour un examen interne supplémentaire avant de l’approuver en cliquant sur Demander une révision.
Remarque :
Avant de demander une révision, assurez-vous que la liste connexe des contrôles impactés contient les contrôles qui sont impactés par l’exception de politique. Il vous suffit d’ouvrir la liste connexe, de cliquer sur Ajouter et de sélectionner les contrôles.
Si l’exception de politique présente un risque particulièrement élevé et que le gestionnaire de conformité estime que l’approbation doit venir d’une personne plus haut placée dans l’organisation (par exemple, le DSI), le gestionnaire de conformité peut cliquer sur Demander l’approbation.
Sinon, l’approbation est effectuée dans les scénarios suivants.
Règle d’approbation définie
Effet sur l’approbation
Si aucune règle d’approbation n’a été définie pour Réponse aux vulnérabilités
Si vous cliquez sur le bouton Approuvé, l’exception de politique est approuvée.
Vous pouvez cliquer sur Demander l’approbation pour envoyer l’exception de politique aux utilisateurs ou aux groupes définis dans la règle. Par exemple, une règle d’approbation peut indiquer que lorsque l’exception de politique est basée sur une politique particulière, un certain ensemble d’utilisateurs ou de groupes sont notifiés qu’ils doivent approuver l’exception de politique. Vous pouvez également définir une règle d’approbation afin que toute exception de politique avec une cote de risque critique soit automatiquement envoyée à un certain ensemble d’approbateurs.
Le nombre d’approbateurs nécessaires pour approuver l’exception de politique dépend du paramètre défini dans le champ Approbation requise de la règle.
Vous pouvez également cliquer sur Approuver pour approuver vous-même l’exception de politique.
Si une règle d’approbation a été définie et que la case Déclenchement automatique a été cochée
Si vous cliquez sur le bouton Approuver , la règle d’approbation est exécutée et l’exception de politique est automatiquement envoyée aux utilisateurs ou aux groupes définis par la règle pour approbation. Le déclenchement automatique rend cette étape obligatoire. Lorsque les approbations sont reçues, l’exception de politique entre en vigueur.
Dans Réponse aux vulnérabilités, une fois les approbations reçues, l’exception de politique devient active et l’activité d’application de correctif sur l’élément vulnérable est différée jusqu’à l’expiration de l’exception de politique. Lorsque la date de fin de validité est atteinte, l’exception de politique expire et l’état de l’élément vulnérable passe de Différé à Ouvert.
