Definindo os requisitos de um controle no nível do objetivo de controle
Você pode detalhar um controle em um nível mais granular como requisitos ao gerar o controle no nível do objetivo de controle.
- Avaliador de controle de segurança (SCA): Para avaliar cada requisito do controle individualmente se houver aspectos diferentes para o teste de controle.
- Oficial de autorização (AO), Oficial de segurança do sistema de informação (ISSO) e Gerente de segurança do sistema de informação (ISSM): Para entender o requisito que falhou, que levou à não conformidade do controle, em vez de avaliar a falha do controle como um todo.
- Respondente de atestado identificado para um controle: Para responder no nível de requisitos de controle, que está em um nível mais granular, em vez de no nível de controle.
. CAMusuário você pode detalhar os controles para controlar requisitos, gerenciar os requisitos com mais eficiência, atestar individualmente e ter o pacote autorizado. Você também pode definir os requisitos e criá-los no nível do objetivo de controle quando os controles são gerados.
Para obter detalhes, consulte Detalhes do requisito de controle no CAMExibição do objetivo de controle e dos formulários de controle.
Criando conteúdo do NIST a partir da descrição do objetivo de controle como requisitos de controle
. sistema baseEnvia os requisitos de controle gerados a partir dos objetivos de controle do NIST 800-53 revisão 5 para CAMusuários. . Descrição O campo do formulário Objetivo de controle lista os requisitos detalhados como subpontos com subnúmeros. A Referência do objetivo de controle é agrupada com cada subnúmero ou a cláusula no Descrição e referenciado como a. Número do requisito No requisito de objetivo de controle. Por exemplo, se a referência do objetivo de controle for IR-9 e a descrição do objetivo de controle começar com um subnúmero (a.), os dois serão agrupados para gerar o primeiro requisito de objetivo de controle como IR-9.A, com mais subnúmeros adicionados a ele, se disponível. Portanto, se houver cerca de sete subdescrições, sete requisitos de controle serão gerados.