NIST RMF conceitos de suporte
Familiarize-se com esses conceitos, desenvolvidos a partir da orientação NIST RMF de .
Nota:
A partir da versão 10.1.0, o NIST RMF Use Case Accelerator será compatível somente para clientes que usam o produto atualmente. Os clientes novos e existentes devem considerar o uso da aplicação GRC: Monitoramento contínuo de autorização. Para obter detalhes, Monitoramento e autorização contínuos.
| Conceito | Descrição |
|---|---|
| Meta | O destino é a base do NIST RMF Use Case Accelerator e de todos os conceitos relacionados. O destino é uma tabela compartilhada entre os produtos ServiceNow® GRC e vários Aceleradores de caso de uso. Eles são semelhantes ao conceito de perfis nas aplicações principais GRC. Eles são opcionalmente vinculados a perfis, mas são usados para todos os atributos específicos dos Aceleradores de caso de uso. Nota: Cada meta de RMF do NIST representa exclusivamente um único perfil em todo o ciclo de vida do RMF. |
| Confidencialidade (C) | A confidencialidade é um objetivo de segurança de uma meta e é definida como o ato de preservar restrições autorizadas ao acesso e à divulgação de informações, incluindo meios para proteger a privacidade pessoal e informações proprietárias. A confidencialidade é expressa em valores Alto, Moderado e Baixo |
| Integridade (I) | Integridade é um objetivo de segurança de uma meta definida como ato de proteção contra modificação ou destruição imprópria de informações e inclui garantir o não repúdio e a autenticidade das informações. A integridade é expressa em valores Alto, Moderado e Baixo |
| Disponibilidade (A) | Disponibilidade é um objetivo de segurança de uma meta definida como ato de garantir o acesso e o uso oportunos e confiáveis das informações. A disponibilidade é expressa em valores Alto, Moderado e Baixo |
| Controles de linha de base | Os controles de linha de base são um conjunto recomendado de controles de segurança do Instituto Nacional de Padrões e Tecnologia (NIST) que, quando implementados e determinados como eficazes, atenuam o risco de segurança e cumprem os requisitos de segurança. Os controles de linha de base têm um valor de impacto designado que é uma combinação de valores Alto, Moderado ou Baixo. |
| Análise de impacto | A análise de impacto determina até que ponto as mudanças propostas ou reais no destino ou seu ambiente de operação podem afetar ou afetaram o estado de segurança do destino. Um destino no qual todos os três objetivos de segurança da CIA são avaliados como Baixo é considerado de baixo impacto e usa qualquer um dos controles de segurança marcados como valor de baixo impacto. Da mesma forma, um destino no qual qualquer um dos três objetivos de segurança da CIA é avaliado como moderado é considerado de impacto moderado e usa qualquer um dos controles de segurança marcados como valor de impacto moderado. Da mesma forma, um destino no qual qualquer um dos três objetivos de segurança da CIA é avaliado como Alto é considerado de alto impacto e usa qualquer um dos controles de segurança marcados como valor de alto impacto. |
| Garantia | Os controles de garantia aumentam a força da segurança e o grau de confiança de que a funcionalidade dos destinos está correta, completa e consistente, além de reduzir o risco à segurança e ajudar na conformidade com os requisitos de segurança |
| Comum | Controles comuns são controles que são hereditários por um ou mais destinos |
| Remuneração | Controles de compensação são controles que podem ser empregados no lugar dos controles de segurança de linha de base recomendados e fornecem proteção equivalente ou comparável para os destinos |
| Complementar | Controles suplementares são controles que podem ser empregados como controles de segurança adicionais para atender adequadamente às necessidades de gestão de riscos de um destino |
| Ajuste | Adaptação é um processo pelo qual uma linha de base de controle de segurança é modificada com base em: (i) orientação de escopo de metas; (ii) especificação dos controles de segurança, por exemplo, compensação, se necessário; e (3) a especificação da organização — parâmetros definidos nos controles de segurança por meio de declarações explícitas de atribuição e seleção |