NIST RMF Use Case Accelerator painéis e relatórios
O NIST RMF Use Case Accelerator contém vários relatórios exibidos em diferentes painéis, disponíveis em cada uma das seções no processo NIST RMF : Categorizar, Selecionar, Implementar, Avaliar, Autorizar e Monitorar.
Nota:
A partir da versão 10.1.0, o NIST RMF Use Case Accelerator será compatível somente para clientes que usam o produto atualmente. Os clientes novos e existentes devem considerar o uso da aplicação GRC: Monitoramento contínuo de autorização. Para obter detalhes, Monitoramento e autorização contínuos.
| Relatórios | Finalidade |
|---|---|
| Visão geral da conformidade de segurança | Fornece um resumo geral da conformidade das políticas de segurança. |
| Visão geral de Conformidade de perfis | Fornece um resumo geral de conformidade dos perfis que implementam controles de segurança. |
| Detalhes da conformidade de segurança | Fornece um resumo de conformidade detalhado das políticas de segurança. |
| Mapa térmico de risco de segurança inerente | Mapa térmico de riscos de segurança com base nos resultados qualitativos inerentes dos riscos. |
| Mapa térmico de risco de segurança residual | Mapa térmico de riscos de segurança com base nos resultados qualitativos residuais dos riscos. |
| Risco à segurança inerente | Gráfico de bolhas de riscos de segurança com base nos resultados quantitativos inerentes médios dos riscos. |
| Risco de segurança residual | Gráfico de bolhas de riscos de segurança com base nos resultados quantitativos inerentes médios dos riscos. |
| Risco à segurança das exposições com perda anual inerente | Fornece informações sobre a expectativa de perda anualizada inerente (ALE) para diferentes riscos de segurança. |
| Risco de segurança das exposições com perda anual residual | Fornece informações sobre a Expectativa de Perda Anualizada Residual (ALE) para diferentes riscos de segurança. |
| Resumo de problemas | Plota problemas anotados para políticas de segurança semana a semana. |
| Metas sem controles de linha de base | Metas com análise de impacto de segurança concluída sem controle de linha de base gerado. Os controles de linha de base são um conjunto recomendado de controles de segurança do Instituto Nacional de Padrões e Tecnologia (NIST) que, quando implementados e determinados como eficazes, atenuam o risco de segurança e cumprem os requisitos de segurança. Os controles de linha de base a serem implementados podem ser determinados a partir das declarações de política de linha de base recomendadas no destino. |
| Metas pendentes de análise de impacto | A análise de impacto na segurança, quando realizada pelas organizações, determina até que ponto as mudanças propostas ou reais na meta ou seu ambiente de operação podem afetar ou afetaram o estado de segurança da meta. As mudanças no destino ou em seu ambiente de operação podem afetar os controles de segurança atualmente em vigor (incluindo controles específicos do sistema, híbridos e comuns), produzir novas vulnerabilidades no destino ou gerar requisitos para novos controles de segurança que não eram necessários anteriormente. |
| Status dos destinos | Metas organizadas pelo estado atual do processo de gestão de riscos. O processo de gestão de riscos é fornecido pelo Instituto Nacional de Padrões e Tecnologia (NIST) Risk Management Framework (RMF) é um processo disciplinado e estruturado que integra as atividades de segurança da informação e gestão de riscos. |
| Impacto da confidencialidade | Metas agrupadas para cada valor de classificação de confidencialidade. O Instituto Nacional de Padrões e Tecnologia (NIST) define Confidencialidade como a preservação de restrições autorizadas ao acesso e divulgação de informações, incluindo meios para proteger a privacidade pessoal e informações proprietárias. A confidencialidade é expressa em valores Alto, Moderado e Baixo. |
| Impacto na integridade | Metas agrupadas para cada valor de classificação de integridade. O Instituto Nacional de Padrões e Tecnologia (NIST) define integridade como proteção contra modificação ou destruição imprópria de informações e inclui garantir o não repúdio e a autenticidade das informações. A integridade é expressa em valores Alto, Moderado e Baixo. |
| Impacto na disponibilidade | Metas agrupadas para cada valor de classificação de disponibilidade. O Instituto Nacional de Padrões e Tecnologia (NIST) define Disponibilidade como garantir o acesso e o uso oportunos e confiáveis das informações. A disponibilidade é expressa em valores Alto, Moderado e Baixo. |
| Impacto em | Metas agrupadas para cada valor de classificação de impacto. O Instituto Nacional de Padrões e Tecnologia (NIST) define Impacto como a perda de confidencialidade, integridade ou disponibilidade que pode ter: (i) um efeito adverso limitado; (ii) um efeito adverso grave; ou (3) um efeito adverso grave ou catastrófico nas operações organizacionais, ativos organizacionais ou indivíduos. Já a análise de impacto na segurança é definida como a determinação das organizações até que ponto o estado de segurança é afetado. O impacto é expresso em valores Alto, Moderado e Baixo. |
| Revisar controles de linha de base | Fornece uma visão geral da etapa de seleção da Gestão de riscos do NIST da estrutura para facilitar a revisão das declarações e controles de política de linha de base. RMF do NIST > Selecionar > Revisar controles de linha de base inicia este painel |
| Declarações de política de segurança de linha de base | As declarações de política de segurança de linha de base são um conjunto recomendado de definições de controle de segurança do Instituto Nacional de Padrões e Tecnologia (NIST) que, quando implementadas e determinadas como eficazes, reduziriam o risco de segurança e atenderiam aos requisitos de segurança. |
| Controles de segurança de linha de base | Os controles de segurança de linha de base são um conjunto recomendado de controles de segurança do Instituto Nacional de Padrões e Tecnologia (NIST), que estão sendo implementados e, se determinados como eficazes, reduziriam o risco de segurança e atenderão aos requisitos de segurança. |
| Relatórios | Finalidade |
|---|---|
| Declarações de política de segurança de linha de base | As declarações de política de segurança de linha de base são um conjunto recomendado de definições de controle de segurança do Instituto Nacional de Padrões e Tecnologia (NIST) que, quando implementadas e determinadas como eficazes, reduziriam o risco de segurança e atenderiam aos requisitos de segurança. |
| Controles de segurança de linha de base | Os controles de segurança de linha de base são um conjunto recomendado de controles de segurança do Instituto Nacional de Padrões e Tecnologia (NIST), que estão sendo implementados e, se determinados como eficazes, reduziriam o risco de segurança e atenderão aos requisitos de segurança. |
| Relatórios | Finalidade |
|---|---|
| Declarações de política de garantia de linha de base | As declarações de política de garantia de segurança de linha de base são o conjunto recomendado de definições de controle de segurança do Instituto Nacional de Padrões e Tecnologia (NIST), que são designadas como definições de controle de garantia que, quando implementadas, aumentam a força da segurança e o grau de confiança de que a funcionalidade está correta, completa, e consistentes e reduziriam o risco à segurança e atenderiam aos requisitos de segurança. |
| Controles de garantia de linha de base | Os controles de garantia de segurança de linha de base são um conjunto recomendado de definições de controle de segurança do Instituto Nacional de Padrões e Tecnologia (NIST), que são designados como Controle de garantia estão sendo implementados para aumentar a força da segurança e o grau de confiança de que a funcionalidade está correta, completa e consistentes e reduziriam o risco de segurança e, ao mesmo tempo, atenderiam aos requisitos de segurança. |
| Declarações de política comum de linha de base | As Declarações de Política Comum de segurança de linha de base são um conjunto de definições de controle de segurança do Instituto Nacional de Padrões e Tecnologia (NIST) que, quando designadas como Definições de controle comuns por organizações, indicam que são hereditárias por uma ou mais metas organizacionais. |
| Controles comuns de linha de base | Os controles comuns de segurança de linha de base são um conjunto de definições de controle de segurança do Instituto Nacional de Padrões e Tecnologia (NIST) que estão sendo implementados e que, quando designados como controles comuns por organizações, indicam que são hereditários por uma ou mais metas organizacionais. |
| Declarações de política de remuneração de linha de base | As declarações de política de compensação de segurança de linha de base são um conjunto de definições de controle de segurança do Instituto Nacional de Padrões e Tecnologia (NIST) que, quando designadas como definições de controle de compensação por organizações, indicam que podem ser usadas em vez de outros controles de segurança e fornecem proteção equivalente ou comparável para metas organizacionais . |
| Controles de remuneração de linha de base | Os controles de compensação de segurança de linha de base são um conjunto de definições de controle de segurança do Instituto Nacional de Padrões e Tecnologia (NIST) que estão sendo implementados e que, quando designados como controles de compensação por organizações, indicam que podem ser empregados em vez de outros controles de segurança e fornecem proteção equivalente ou comparável para metas organizacionais. |
| Declarações de política suplementar de linha de base | As declarações de política suplementar de segurança de linha de base são um conjunto de definições de controle de segurança do Instituto Nacional de Padrões e Tecnologia (NIST) que, quando designadas como definições de controle suplementar por organizações, indicam que podem ser adicionadas aos controles de segurança para atender adequadamente às necessidades de gestão de riscos para metas organizacionais. |
| Controles suplementares de linha de base | Os controles suplementares de segurança de linha de base são um conjunto de definições de controle de segurança do Instituto Nacional de Padrões e Tecnologia (NIST) que estão sendo implementados e que, quando designados como controles suplementares pelas organizações, indicam que podem ser adicionados aos controles de segurança para atender adequadamente às necessidades de gestão de riscos para metas organizacionais . |
| Relatórios | Finalidade |
|---|---|
| Certificações de controle concluídas | Exibe o número de certificações de controle de gestão de riscos do NIST concluídas. |
| Prazo próximo das certificações de controle | Exibe o número de certificações de controle de gestão de riscos do NIST que vencem em 7 dias. |
| Certificações de controle com vencimento após 7 dias | Exibe o número de certificações de controle de gestão de riscos do NIST que vencem após 7 dias. |
| Prazo das certificações de controle não atingido | Exibe o número de certificações de controle de gestão de riscos do NIST que perderam a data de vencimento. |
| Certificações de controle por perfil | Fornece uma visão geral das certificações de controle da Gestão de riscos do NIST agrupadas por perfis. |
| Certificações de controle atrasadas | Fornece uma visão geral das certificações de controle da Gestão de riscos do NIST agrupadas por data de vencimento. |
| Avaliações de risco concluídas | Exibe o número de avaliações de risco da Gestão de riscos do NIST concluídas. |
| Próximo prazo das Avaliações de risco | Exibe o número de avaliações de risco da Gestão de riscos do NIST que vencem em 7 dias. |
| Avaliações de risco com vencimento após 7 dias | Exibe o número de avaliações de risco da Gestão de riscos do NIST que vencem após 7 dias. |
| Avaliações de risco não cumpriram a data de vencimento | Exibe o número de avaliações de risco da Gestão de riscos do NIST que perderam a data de vencimento. |
| Avaliações de risco por perfil | Fornece uma visão geral das avaliações de risco da Gestão de riscos do NIST agrupadas por perfis. |
| Avaliações de risco atrasadas | Fornece uma visão geral das avaliações de risco da Gestão de riscos do NIST agrupadas por data de vencimento. |
| Relatórios | Finalidade |
|---|---|
| Status de aprovação do destino | Fornece uma visão geral do estado atual de aprovações do destino. |
| Aprovadores do executivo de risco | Fornece uma visão geral das metas atribuídas aos aprovadores executivos de risco. |
| Aprovadores oficiais de autorização | Fornece uma visão geral das metas atribuídas aos aprovadores oficiais de autorização. |
| Relatórios | Finalidade |
|---|---|
| Perfis ineficazes | Número total de perfis com pelo menos um teste de controle de um controle de segurança sinalizado como ineficaz. |
| Controles ineficazes | Número total de controles de segurança com pelo menos um teste de controle sinalizado como ineficaz. |
| Planos de testes ineficazes | Número total de planos de testes com pelo menos um teste de controle de um controle de segurança sinalizado como ineficaz. |
| Controles Fora de Conformidade | Número total de controles de segurança com status fora de conformidade. |
| Riscos | Número total de riscos associados aos controles de segurança. |
| Problemas | Número total de problemas relacionados a controles e riscos de segurança. |
| Conformidade de controle | Fornece a visão geral de conformidade dos controles de segurança. |
| Eficácia do perfil | Fornece uma visão geral da eficácia do perfil para perfis que têm controles de segurança com base na eficácia dos testes de controle associados. |
| Eficácia do controle | Fornece uma visão geral da eficácia do controle para controles de segurança com base na eficácia dos testes de controle associados. |
| Eficácia do plano de testes | Fornece uma visão geral da eficácia do plano de testes dos controles de segurança com base na eficácia dos testes de controle associados. |
| Riscos | Lista de riscos agrupados por perfis e associados a controles de segurança. |