NIST RMF Unterstützende Konzepte
Machen Sie sich mit diesen Konzepten vertraut, die aus entwickelt wurden NIST RMFAnleitung.
Hinweis:
Ab Version 10.1,0 NIST RMF Use Case AcceleratorWird nur für Kunden unterstützt, die das Produkt derzeit verwenden. Neue und vorhandene Kunden sollten die Verwendung der Anwendung „GRC: Kontinuierliche Autorisierungsüberwachung“ in Betracht ziehen. Für Details, Continuous Authorization and Monitoring.
| Konzept | Beschreibung |
|---|---|
| Zielvorgabe | Das Ziel ist die Grundlage von NIST RMF Use Case AcceleratorUnd alle zugehörigen Konzepte. Das Ziel ist eine gemeinsam genutzte Tabelle zwischen ServiceNow® GRCProdukte und mehrere Anwendungsfall-Accelerators. Sie ähneln dem Konzept von Profilen im Kern GRCAnwendungen. Sie sind optional mit Profilen verknüpft, werden jedoch für alle Attribute verwendet, die spezifisch für die Anwendungsfall-Accelerators sind. Hinweis: Jedes NIST-RMF-Ziel stellt eindeutig ein einzelnes Profil während seines RMF-Lebenszyklus dar. |
| Vertraulichkeit (C) | Vertraulichkeit ist ein Sicherheitsziel eines Ziels und ist definiert als der Akt der Wahrung autorisierter Einschränkungen für den Zugriff auf und die Offenlegung von Informationen, einschließlich Maßnahmen zum Schutz personenbezogener Daten und proprietärer Informationen. Vertraulichkeit wird als hoch, Mittel und Niedrig ausgedrückt |
| Integrität (I) | „Integrität“ ist ein Sicherheitsziel eines Ziels. Dies ist definiert als Schutzmaßnahme gegen unsachgemäße Änderung oder Vernichtung von Informationen und umfasst die Sicherstellung der Nichtwiderachtung und Authentizität von Informationen. Integrität wird als hoch, Mittel und Niedrig ausgedrückt |
| Verfügbarkeit (A) | „Verfügbarkeit“ ist ein Sicherheitsziel eines Ziels, das definiert ist als ein Akt zur Sicherstellung eines rechtzeitigen und zuverlässigen Zugriffs auf Informationen und ihrer Verwendung. Die Verfügbarkeit wird als hoch, Mittel und Niedrig ausgedrückt |
| Baseline-Kontrollen | Baseline-Steuerungen sind empfohlene Sicherheitssteuerungen des National Institute of Standards and Technology (NIST), die bei Implementierung und als effektiv eingestuft werden, das Sicherheitsrisiko mindern und gleichzeitig die Sicherheitsanforderungen erfüllen würden. Baseline-Steuerungen haben einen festgelegten Auswirkungswert, der eine Kombination aus Werten „hoch“, „Mittel“ oder „Niedrig“ ist. |
| Auswirkungsanalyse | Die Auswirkungsanalyse bestimmt das Ausmaß, in dem vorgeschlagene oder tatsächliche Änderungen am Ziel oder seiner Betriebsumgebung den Sicherheitsstatus des Ziels beeinträchtigen oder sich auf ihn ausgewirkt haben können. Ein Ziel, in dem alle drei CIA-Sicherheitsziele als „Niedrig“ bewertet werden, gilt als „geringe Auswirkung“ und verwendet eine der Sicherheitskontrollen, die als „Wert für geringe Auswirkung“ gekennzeichnet sind. Ebenso gilt ein Ziel, bei dem eines der drei CIA-Sicherheitsziele als „Mittel“ bewertet wird, als „moderate Auswirkung“ und verwendet eine der Sicherheitskontrollen, die als Wert für „moderate Auswirkung“ gekennzeichnet sind. Ebenso gilt ein Ziel, bei dem eines der drei CIA-Sicherheitsziele als „hoch“ bewertet wird, als „hoch“ und verwendet eine der Sicherheitskontrollen, die als „hoch Impact-Wert“ gekennzeichnet sind. |
| Sicherheit | Sicherheitskontrollen erhöhen sowohl die Sicherheit als auch den Grad der Sicherheit, dass die Funktionalität von Zielen korrekt, vollständig und konsistent ist, und würden das Sicherheitsrisiko mindern und bei der Erfüllung der Sicherheitsanforderungen helfen |
| Verbreitet | Allgemeine Steuerungen sind Steuerungen, die von einem oder mehreren Zielen geerbt werden können |
| Ausgleich | Ausgleichssteuerungen sind Steuerungen, die anstelle der empfohlenen Baseline-Sicherheitskontrollen verwendet werden können und gleichwertigen oder vergleichbaren Schutz für die Ziele bieten |
| Ergänzend | Zusätzliche Steuerungen sind Steuerungen, die als zusätzliche Sicherheitskontrollen verwendet werden können, um die Risikomanagementanforderungen eines Ziels angemessen zu erfüllen |
| Anpassung | Die Anpassung ist ein Prozess, durch den eine Sicherheitssteuerungsbasis basierend auf folgenden Elementen geändert wird: (i) Zielleitfaden für die Umfangsdefinition; (II) Spezifikation der Sicherheitskontrollen, z. B. Ausgleich bei Bedarf; und (III) der Spezifikation der Organisation – definierte Parameter in den Sicherheitskontrollen über explizite Zuweisungs- und Auswahlanweisungen |