Quando os níveis de impacto do pacote forem aprovados, será hora de selecionar controles de linha de base.

Antes de Iniciar

Função necessária: Para gravar na tabela sn_im_cont_baseline_control_objective: sn_irm_cont_auth.system_owner, sn_irm_cont_auth.info_system_sec_officer, sn_irm_cont_auth.admin

Para acessar Marcar como não aplicável : sn_irm_cont_auth.info_system_sec_officer, sn_irm_cont_auth.info_system_sec_manager, sn_irm_cont_auth.admin.

GRC Monitoramento e autorização contínuos

GRC: os testes de início rápido Monitoramento e autorização contínuos exigem a ativação do plug-in Monitoramento e autorização contínuos (com.sn_compliance) e o carregamento dos dados de demonstração.

Tabela 1. GRC: pacote de testes de início rápido Monitoramento e autorização contínuos
Teste Descrição Versão de lançamento
GRC: o proprietário do sistema cria e valida responsabilidades e funções para um AB e um AP O proprietário do sistema cria e valida responsabilidades e funções para um limite de autorização e um pacote de autorização.

Os proprietários das informações e o usuário do sistema são preenchidos previamente ao selecionar o limite de autorização.

 Quebec (compatível com Paris e Orlando)
GRC: proprietário do sistema valida a visibilidade dos módulos do aplicativo Verifica se a persona do proprietário do sistema pode exibir o menu de aplicativo Monitoramento e Autorização Contínuos e os seguintes módulos nesse menu:
  • Todos os limites de autorização
  • Todos os pacotes de autorização
  • Biblioteca de tipos de informação
  • Sobreposições de controle
  • Objetivos de controle
  • Controles
  • Todos os compromissos
 Quebec (compatível com Paris e Orlando)
GRC: módulo de solicitação do proprietário do sistema de primeira aprovação e minhas aprovações O proprietário do sistema solicita uma aprovação. Quebec (compatível com Paris e Orlando)
SO: criar e validar responsabilidades e funções para um AB e AP Verifica se um proprietário do sistema pode criar um limite de autorização preenchendo os campos no formulário de limite de autorização.

Verifique também se o mesmo SO pode criar um pacote de autorização na exibição de formulário.

 Quebec (compatível com Paris e Orlando)

Para saber mais sobre Monitoramento e autorização contínuos, consulte Continuous Authorization and Monitoring.

Por Que e Quando Desempenhar Esta Tarefa

Quando a aprovação foi recebida no formulário Pacote de autorização, um Sobreposições de controle e uma série de Controles as listas relacionadas apareceram no formulário.

Procedimento

  1. Selecione Controles de linha de base lista relacionada.
    A lista mostra os controles de linha de base para o nível de impacto calculado do pacote. O número de controles a serem implementados (conforme definido pelo NIST) depende do nível de impacto (Alto, Moderado e Baixo).
  2. Você pode executar as seguintes ações na lista de controles.
    Tabela 2. Ações nos controles de linha de base
    Ação Descrição
    Adicione controles à lista Selecione Adicionar , selecione os controles que você deseja adicionar e selecione Criar controles de linha de base .
    Nota: Ao adicionar objetivos de controle, você não pode selecionar vários objetivos de controle com o mesmo ID de referência para adicionar aos controles de linha de base. Não é possível adicionar um objetivo de controle se o ID de referência dele já existir na lista de controles de linha de base.
    Adicione controles usando uma sobreposição de controle Selecione uma sobreposição de controle no Sobreposições de controle campo.
    Nota: Sobreposições de privacidade e outros tipos de sobreposições de controle podem ser exigidas por agências governamentais, mas você pode criá-las para adicionar um número especificado de controles à sua lista.
    Identificar determinados controles como não aplicáveis

    Selecione os controles e selecione Selecione insira uma justificativa e selecione Confirmar .

    Os controles marcados desta forma são removidos do Controles de linha de base lista para Controles não aplicáveis lista relacionada.

    Nota:
    • Não é possível mover objetivos de controle com o mesmo ID de referência da lista de controles de linha de base para os controles não aplicáveis.
    • Não é possível mover objetivos de controle com o mesmo ID de referência de controles de linha de base para controles não aplicáveis ou de controles não aplicáveis para controles de linha de base.
    • Quando você seleciona dois objetivos de controle com o mesmo ID de referência na lista Controles não aplicáveis, a ação Retornar ao controle de linha de base é desabilitada.
    Herde controles comuns

    Você pode criar controles comuns aos quais outros controles subordinados podem ser atribuídos para que eles possam herdar a orientação de risco deles. Por exemplo, se você tiver um controle que lida com uma instalação inteira, poderá identificar controles relacionados que herdarão proteção e conformidade do controle comum.

    Para criar um controle comum, selecione o controle e selecione Criar controle comum , selecione OK para confirmar. Para obter informações sobre como permitir que um controle herde de um controle comum, consulte Herde de um controle comum.
  3. Selecione Aprovação da solicitação .

    Uma solicitação de aprovação é enviada ao funcionário autorizado, que acessará Minhas aprovações no painel de navegação e revisará as informações no pacote. Quando a aprovação é recebida, o pacote faz a transição para Implementar estado.

    Para enviar o pacote de volta para o estado Categorizar, selecione Voltar para a etapa anterior . Todos os controles de linha de base são removidos e o pacote deve receber aprovação para avançar novamente para o estado Selecionar.