Catégoriser les cibles
Au sein de l’application NIST RMF , la section Catégoriser facilite la catégorisation des cibles par le biais d’une évaluation préliminaire des risques et d’une analyse d’impact.
Remarque :
À partir de la version 10.1.0, le sera pris en charge uniquement pour les NIST RMF Use Case Accelerator clients qui utilisent actuellement le produit. Les clients nouveaux et existants devraient envisager d’utiliser l’application GRC : Surveillance des autorisations continues. Pour en savoir plus, Autorisation et surveillance en continu.
Tout d’abord, une cible est créée à partir d’une entité ou d’un type d’entité. Le flux d’application commence à l’analyse d’impact. L’utilisateur localise une cible et la configure pour l’utiliser en NIST RMF fournissant des informations de base. Ensuite, l’utilisateur effectue une évaluation préliminaire des risques déterminant la valeur d’impact potentiel sur chacun des paramètres suivants : confidentialité, intégrité et disponibilité. La cote d’impact la plus élevée de ces valeurs détermine la valeur d’impact .
Remarque :
L’utilisateur peut remplacer la valeur d’impact , si nécessaire.
La valeur Impact est utilisée pour identifier les déclarations de politique de sécurité de base recommandées pour la cible, sur la base du catalogue des publications spéciales NIST 800-53.r4. L’utilisateur examine les déclarations de politique de sécurité de base et implémente des contrôles de sécurité pour cette cible (par exemple, profil). L’approche standard est décrite dans la Gestion de la politique et de la conformité demande.