Étape 2 du RMF : classer le package d’autorisation

  • Rversion finale: Xanadu
  • Mis à jour 7 août 2024
  • 2 minutes de lecture

    • Dans l’étape Catégoriser, vous définissez la criticité ou la sensibilité de votre système d’information en fonction des scénarios les plus pessimistes. Cela implique de sélectionner les types d’informations NIST pour le package et d’utiliser les types d’informations pour définir les niveaux d’impact du package.

    Avant de commencer

    Rôle requis pour utiliser Catégoriser :
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.info_system_sec_officer
    Rôle requis pour écrire dans un package d’autorisation :
    • sn_irm_cont_auth.admin
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_officer
    Rôle requis pour sélectionner les types d’informations :
    • sn_irm_cont_auth.admin
    • sn_irm_cont_auth.system_owner

    Rôle requis pour écrire dans les champs remplacés du formulaire de package : sn_irm_cont_auth.system_owner

    Pourquoi et quand exécuter cette tâche

    Lorsque vous cliquiez sur Classer en catégories sur le formulaire Package d’autorisation , un champ Impact, un onglet Impact et une liste connexe Types d’informations apparaissaient sur le formulaire.

    Procédure

    1. Dans la liste connexe Types d’informations, sélectionnez Modifier.
      Remarque :
      Au fur et à mesure que vous sélectionnez les types d’informations, des conseils sur le type d’informations sélectionné s’affichent, y compris le nom, les catégories et les évaluations de confidentialité, d’intégrité et de disponibilité (CIA) pour le type d’informations.
      Formulaire de sélection des types d’informations
    2. Sélectionnez plusieurs types d’informations que vous souhaitez sélectionner pour ce package d’autorisation et déplacez-les dans la zone de liste Type d’informations.
    3. Lorsque vous avez terminé vos sélections, sélectionnez Enregistrer.

      La liste connexe des types d’informations contient maintenant les informations de conseil pour les types d’informations que vous avez sélectionnés.

      Liste des types d’informations
    4. Sélectionnez l’onglet Impact et passez en revue les impacts recommandés pour les types d’informations que vous avez sélectionnés.
      Remarque :
      Les impacts affichés dans les champs Recommandés reflètent le pire scénario des types d’informations que vous avez sélectionnés. Par exemple, si vous sélectionnez un type d’information avec des niveaux de CIA élevés, les champs recommandés sous l’onglet Impact afficheront tous des niveaux de risque élevés . Les niveaux de CIA sont utilisés pour calculer l’impact global des types d’informations que vous avez sélectionnés, qui s’affiche maintenant dans le champ Impact .
    5. Vous pouvez remplacer n’importe quel niveau d’impact en modifiant les champs Remplacé et en fournissant une justification.

      Au fur et à mesure que vous fournissez des remplacements, le champ Impact est mis à jour en conséquence en fonction des niveaux CIA de mise à jour.

      Champs de remplacement de l’impact
      Important :
      Il est essentiel que le champ Impact reflète avec précision l’impact des données que vous autorisez. Tous les processus en aval à partir de ce point dépendent de ce niveau d’impact. Selon les directives du NIST, le nombre de contrôles que vous devez implémenter dépend de l’impact, comme suit :
      • Risque élevé = 343 contrôles
      • Risque modéré = 262 témoins
      • Risque faible = 125 contrôles
    6. Une fois que vous avez défini l’impact, sélectionnez Demander l’approbation.
      Une demande d’approbation est envoyée à l’agent autorisé, qui accède à Mes approbations à partir du volet de navigation et examine les informations contenues dans le package. Lorsque l’approbation est reçue, le package passe à l’état Sélectionner .