Configurar controles de linha de base para gerar controles e implementar requisitos

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 6 min. de leitura

    • Use os controles de linha de base para herdar um controle, marcar um controle como comum ou criar um controle híbrido. Crie um controle híbrido para herdar requisitos parcialmente de controles comuns e os requisitos restantes serão criados para o controle que foi gerado a partir do controle de linha de base.

    Antes de Iniciar

    Função necessária: sn_irm_cont_auth.system_owner, sn_irm_cont_auth.info_system_sec_officer, sn_irm_cont_auth.info_system_sec_manager

    Por Que e Quando Desempenhar Esta Tarefa

    Os controles híbridos não apenas oferecem a capacidade de herdar requisitos parciais de controles comuns, mas também a flexibilidade para fazer o melhor uso dos requisitos de controle comuns e, ao mesmo tempo, implementar automaticamente os requisitos restantes para esse controle.

    Em CAM, há duas maneiras de herdar controles dos objetivos de controle provenientes do NIST 800-53-r5:
    Herdar do provedor
    O controle é herdado direta e completamente. Por exemplo, se o provedor comum, Edifício A, fornecer um objetivo de controle que é a prevenção de incêndio e esse objetivo de controle tiver cerca de três requisitos diferentes, ou seja, alarme de incêndio, detecção de fumaça e aspersão, o controle será herdado diretamente, identificando-o como controle comum.
    Nota:
    Um controle associado a um pacote de autorização pode ser um provedor comum para outro pacote de autorização se o controle estiver marcado como um provedor de controle comum em seu pacote de autorização e esse pacote específico precisar estar no estado Monitor. Somente então ele é chamado como um controle comum.
    Herança híbrida
    O controle é parcialmente herdado. Somente um ou alguns requisitos do controle são herdados neste caso. Considerando o exemplo anterior, a herança híbrida está habilitada nas seguintes combinações:
    • Um dos requisitos, como alarme de incêndio, pode ser herdado do Edifício A e os outros dois requisitos podem ser implementados automaticamente.
    • Um dos requisitos, como o alarme de incêndio, pode ser herdado do Edifício A, e outro requisito, como a detecção de fumaça, pode ser herdado do Edifício B. O restante dos quais pode ser implementado automaticamente.
    • Todos os requisitos são herdados. Esta herança não é uma herança parcial porque pelo menos um dos requisitos deve ser herdado e um deve ser auto-implementado. Portanto, esta herança não pode ser chamada de herança híbrida.
    Nota:
    A função e a responsabilidade do pacote de autorização devem ser atribuídas a um funcionário de autorização (AO), que deve revisar e aprovar o pacote de autorização quando ele passa de um estado para outro. O responsável pela segurança do sistema de informações (ISSO) é necessário para marcar um controle comum, criar um controle híbrido ou para identificar um controle como não aplicável, já que esses objetivos de controle são originados pelo NIST. Depois que o responsável pela autorização (AO) fornece a aprovação, o pacote de autorização passa para o estado Implementar.

    Procedimento

    1. Navegar até Todos > Autorização e monitoramento contínuos > Todos os pacotes de autorização.
    2. Selecione um registro de pacote de autorização que esteja em um estado Selecionar e tenha os controles de linha de base adicionados.
      No estado Selecionar, todos os controles de linha de base são adicionados e você pode identificar a função de cada controle de linha de base. Você pode herdar um controle, marcar um controle como comum ou criar um controle híbrido.
    3. Para atribuir controles de linha de base de um provedor de controle comum como controles comuns, selecione os objetivos de controle na guia Controles de linha de base que você deseja atribuir como controles comuns.
      1. Selecione Marcar como comum e OK no pop-up de confirmação.
      2. Selecione Solicitar aprovação para solicitar aprovação.
        Após a aprovação, o pacote de autorização passa para o estado Implementar. Antes de passar para o estado Implementar, a opção Cria controles automaticamente no formulário de objetivo de controle deve ser verdadeira para todos os controles de linha de base e controles híbridos. Caso contrário, uma mensagem de erro será exibida com a lista de objetivos de controle solicitando que você torne a opção Cria controles automaticamente como verdadeira.
      3. Selecione o link de objetivos de controle na mensagem e habilite a opção Cria controles automaticamente para todos os objetivos de controle no respectivo formulário de objetivo de controle.
      Depois que o pacote de autorização for aprovado, os controles serão criados na guia Controles. Você pode mover o pacote de autorização para o estado Avaliar. Nesse estado, o avaliador de controle de segurança (SCA) é necessário como líder de compromisso, em que o compromisso é criado para testar os controles. Após esse estado, o pacote de autorização é movido para o estado Autorizar.

      Para que um pacote de autorização esteja disponível como um provedor de controle comum para outros pacotes de autorização, ele deve estar no estado Monitor. Depois que o pacote de autorização é movido para o estado Monitor e o sinalizador do provedor de controle comum é definido como verdadeiro para alguns dos controles de linha de base, os controles que foram gerados para esses controles de linha de base se tornam provedores de controle comuns para outros pacotes de autorização.

    4. Para herdar os requisitos de um controle comum de um provedor de controle comum específico ou criar um controle híbrido, selecione apenas um objetivo de controle na guia Controles de linha de base.
      1. Selecione Criar híbrido.
        O pop-up Criar controle híbrido lista as entidades em grupos. O agrupamento por entidade ajuda quando há mais números de requisito adicionados ao número de referência de um objetivo de controle. Você pode herdar requisitos parcialmente de alguns dos provedores de controle comuns e implementar automaticamente o restante dos requisitos. Se você selecionar todos os requisitos de controle de todas as categorias de provedores para herança sem um único requisito auto-implementado, os requisitos não serão herdados parcialmente, mas se tornarão herança completa de todos os requisitos, o que não é permitido. Pelo menos um requisito auto-implementado é necessário para criar um controle híbrido.
      2. Selecione os requisitos dos agrupamentos de entidades, deixando um ou mais requisitos para auto-implementação para esse controle.
      3. Selecione Adicionar.
        A lista relacionada Controles híbridos aparece com os controles de linha de base selecionados. Um controle de linha de base é um m2m de um objetivo de controle e um pacote de autorização.
        Figura 1. Ações de IU em controles de linha de base
        Configure controles de linha de base para herdar controles e requisitos.
      4. Selecione o ícone Exibir/ocultar listas hierárquicas ( Ícone Exibir ou ocultar listas hierárquicas.) para ver os requisitos herdados.
        Todos os outros requisitos não listados aqui são auto-implementados.
        Nota:
        Somente provedores de controle comuns com requisitos de controle podem ser usados para criar controles híbridos.
    5. Para herdar controles de um provedor comum, selecione um objetivo de controle na lista relacionada Controles de linha de base.
      1. Selecione Herdar do provedor e selecione a lista de controle comum no pop-up Herdar do controle comum.
      2. Selecione os controles que você deseja herdar e clique em Confirmar.
        As entidades dos controles selecionados se tornam o provedor comum. Para cada um desses pacotes de autorização, há uma lista relacionada de Controles herdados. O campo Herdado de nesta lista relacionada fornece as informações sobre qual controle é o provedor de controle comum.
        Nota:
        Para herdar de um provedor, que é uma herança direta, pode não haver nenhum requisito para o controle.
    6. Para marcar um controle de linha de base específico como não aplicável para que ele fique fora do fluxo de trabalho e não permita que controles sejam gerados, selecione um controle de linha de base
      1. Selecione Não aplicável.
      2. Insira uma anotação para justificar sua ação no campo Justificativa e selecione Confirmar.
        Esta ação muda o status do controle de linha de base selecionado para Não implementado.
      No estado Selecionar, você fez a configuração do tipo de controles a serem gerados. Depois que a configuração for concluída, você poderá aprovar o pacote de autorização.
    7. Selecione Solicitar aprovação.
      O pacote de autorização é movido para o estado Implementar. Nesse estado, com base na configuração, os controles são criados.