NIST RMF Concepts de support
Familiarisez-vous avec ces concepts, développés à partir des NIST RMF conseils.
Remarque :
À partir de la version 10.1.0, le sera pris en charge uniquement pour les NIST RMF Use Case Accelerator clients qui utilisent actuellement le produit. Les clients nouveaux et existants devraient envisager d’utiliser l’application GRC : Surveillance des autorisations continues. Pour en savoir plus, Autorisation et surveillance en continu.
| Concept | Description |
|---|---|
| Cible | La cible est le fondement du NIST RMF Use Case Accelerator et de tous les concepts connexes. La cible est une table partagée entre les produits et plusieurs accélérateurs de cas d’utilisation ServiceNow® GRC . Ils sont similaires au concept de profils dans les applications principales GRC . Ils sont éventuellement liés à des profils, mais sont utilisés pour tous les attributs spécifiques aux accélérateurs de cas d’utilisation. Remarque : Chaque cible NIST RMF représente de manière unique un profil unique tout au long de son cycle de vie RMF. |
| Confidentialité (C) | La confidentialité est un objectif de sécurité d’une cible et est définie comme l’acte de préserver les restrictions autorisées sur l’accès et la divulgation des informations, y compris les moyens de protéger la vie privée et les informations exclusives. La confidentialité est exprimée sous forme de valeurs élevées, modérées et faibles |
| Intégrité (I) | L’intégrité est un objectif de sécurité d’une cible est définie comme un acte de protection contre la modification ou la destruction inappropriée des informations, et comprend la garantie de la non-répudiation et de l’authenticité des informations. L’intégrité est exprimée sous forme de valeurs élevées, modérées et faibles |
| Disponibilité (A) | La disponibilité est un objectif de sécurité d’une cible est définie comme l’acte d’assurer un accès et une utilisation rapides et fiables des informations. La disponibilité est exprimée sous forme de valeurs élevée, modérée et faible |
| Contrôles de la base de référence | Les contrôles de base sont un ensemble de contrôles de sécurité recommandés par le National Institute of Standards and Technology (NIST) qui, lorsqu’ils sont mis en œuvre et jugés efficaces, atténueraient les risques de sécurité tout en respectant les exigences de sécurité. Les contrôles de base de référence ont une valeur d’impact désignée qui est une combinaison de valeurs élevées, modérées ou faibles. |
| Analyse de l'impact | L’analyse d’impact détermine dans quelle mesure les changements proposés ou réels apportés à la cible ou à son environnement d’exploitation peuvent affecter ou avoir affecté l’état de sécurité de la cible. Une cible dans laquelle les trois objectifs de sécurité de CIA sont évalués comme faibles est considérée comme à faible impact et utilise tous les contrôles de sécurité marqués comme valeur d’impact faible. De même, une cible dans laquelle l’un des trois objectifs de sécurité de la CIA est évalué à Modéré est considéré comme ayant un impact modéré et utilise l’un des contrôles de sécurité marqués comme une valeur d’impact modéré. De même, une cible dans laquelle l’un des trois objectifs de sécurité de la CIA est évalué comme élevé est considérée comme à impact élevé et utilise l’un des contrôles de sécurité marqués comme valeur d’impact élevé. |
| Assurance | Les contrôles d’assurance augmentent à la fois le niveau de sécurité et le degré de confiance dans l’exactitude, l’exhaustivité et la cohérence de la fonctionnalité des cibles, qui atténuent le risque de sécurité et aident à se conformer aux exigences de sécurité |
| Commun | Les contrôles communs sont des contrôles qui sont héréditaires par une ou plusieurs cibles |
| Compensant | Les contrôles compensatoires sont des contrôles qui peuvent être utilisés à la place des contrôles de sécurité de base recommandés et fournir une protection équivalente ou comparable pour les cibles |
| Supplémentaire | Les contrôles supplémentaires sont des contrôles qui peuvent être utilisés comme contrôles de sécurité supplémentaires pour répondre de manière adéquate aux besoins de gestion des risques d’une cible |
| Personnalisation | L’adaptation est un processus par lequel une base de référence de contrôle de sécurité est modifiée en fonction : (i) des directives de définition de la portée des cibles ; ii) la spécification des contrôles de sécurité, par exemple, la compensation, si nécessaire ; et (iii) la spécification de l’organisation - paramètres définis dans les contrôles de sécurité via des instructions d’affectation et de sélection explicites |