Configure controles de linha de base para gerar controles e implementar requisitos
Use os controles de linha de base para herdar um controle, marcar um controle como comum ou criar um controle híbrido. Crie um controle híbrido para herdar requisitos parcialmente de controles comuns e os requisitos restantes serão criados para o controle gerado a partir do controle de linha de base.
Antes de Iniciar
Função necessária: sn_irm_cont_auth.system_owner, sn_irm_cont_auth.info_system_sec_officer, sn_irm_cont_auth.info_system_sec_manager
Por Que e Quando Desempenhar Esta Tarefa
Os controles híbridos não apenas oferecem a capacidade de herdar requisitos parciais de controles comuns, mas também oferecem a flexibilidade de fazer o melhor uso dos requisitos de controle comuns e implementar automaticamente os requisitos restantes para esse controle.
Em CAMHá duas maneiras de herdar controles dos objetivos de controle obtidos do NIST 800-53-r5:
- Herde do provedor
- O controle é herdado direta e completamente. Por exemplo, se o provedor comum, Edifício A, fornecer um objetivo de controle que é a prevenção de incêndio, e esse objetivo de controle tiver cerca de três requisitos diferentes, ou seja, alarme de incêndio, detecção de fumaça e aspersão, o controle será herdado diretamente identificando-o como controle comum.Nota:Um controle associado a um pacote de autorização pode ser um provedor comum para outro pacote de autorização se o controle estiver marcado como um provedor de controle comum em seu pacote de autorização e esse pacote específico precisar estar no estado Monitorar. Só então é chamado como um controle comum.
- Herança híbrida
- O controle é parcialmente herdado. Neste caso, apenas um ou alguns dos requisitos do controle são herdados. Considerando o exemplo anterior, a herança híbrida está habilitada nas seguintes combinações:
- Um dos requisitos, como alarme de incêndio, pode ser herdado do Edifício A, e os outros dois requisitos podem ser auto-implementados.
- Um dos requisitos, como o alarme de incêndio, pode ser herdado do Edifício A, e outro requisito, como a deteção de fumaça, pode ser herdado do Edifício B. O restante dos quais pode ser autoimplementado.
- Todos os requisitos são herdados. Esta herança não é uma herança parcial porque pelo menos um dos requisitos deve ser herdado e um deve ser autoimplementado. Portanto, esta herança não pode ser denominada como herança híbrida.
Nota:
A função e a responsabilidade do pacote de autorização devem ser atribuídas a um funcionário de autorização (AO) que deve revisar e aprovar o pacote de autorização quando ele passar de um estado para outro. O diretor de segurança do sistema de informação (ISSO) deve marcar um controle comum, criar um controle híbrido ou identificar um controle como não aplicável, pois esses objetivos de controle são fornecidos pelo NIST. Depois que o oficial de autorização (AO) fornece a aprovação, o pacote de autorização passa para o estado Implementar.