Configurar controles de linha de base
Use os controles de linha de base para herdar um controle, marcar um controle como comum ou criar um controle híbrido. Crie um controle híbrido para herdar requisitos parcialmente de controles comuns e os requisitos restantes serão criados para o controle gerado a partir do controle de linha de base.
Antes de Iniciar
Função necessária: sn_irm_cont_auth.system_owner, sn_irm_cont_auth.info_system_sec_officer, sn_irm_cont_auth.info_system_sec_manager
Por Que e Quando Desempenhar Esta Tarefa
Os controles híbridos não apenas oferecem a capacidade de herdar requisitos parciais de controles comuns, mas também oferecem flexibilidade para fazer o melhor uso dos requisitos de controle comuns e implementar automaticamente os requisitos restantes desse controle.
Em CAM Há duas maneiras de herdar controles dos objetivos de controle obtidos do NIST 800-53-r5:
- Herde do provedor
- O controle é herdado direta e completamente. Por exemplo, se o provedor comum, Edifício A, fornecer um objetivo de controle que é prevenção de incêndio, e esse objetivo de controle tiver cerca de três requisitos diferentes, ou seja, alarme de incêndio, detecção de fumaça e aspersão, o controle será herdado diretamente identificando-o como controle comum.Nota:Um controle associado a um pacote de autorização pode ser um provedor comum para outro pacote de autorização se o controle estiver marcado como um provedor de controle comum em seu pacote de autorização e esse pacote específico precisar estar no estado Monitor. Só então é chamado como um controle comum.
- Herança híbrida
- O controle é parcialmente herdado. Apenas um ou alguns dos requisitos do controle são herdados neste caso. Considerando o exemplo anterior, a herança híbrida está habilitada nas seguintes combinações:
- Um dos requisitos, como alarme de incêndio, pode ser herdado do Edifício A, e os outros dois requisitos podem ser autoimplementados.
- Um dos requisitos, como alarme de incêndio, pode ser herdado do Edifício A, e outro requisito, como detecção de fumaça, pode ser herdado do Edifício B. O restante dos quais pode ser implementado automaticamente.
- Todos os requisitos são herdados. Esta herança não é uma herança parcial porque pelo menos um dos requisitos deve ser herdado e um deve ser implementado automaticamente. Esta herança não pode ser chamada de herança híbrida.
Nota:
A função e a responsabilidade do pacote de autorização devem ser atribuídas a um oficial de autorização (AO) que deve revisar e aprovar o pacote de autorização quando ele passar de um estado para outro. ISSO (Information System Security Officer, diretor de segurança do sistema de informação) deve marcar um controle comum, criar um controle híbrido ou identificar um controle como não aplicável, já que esses objetivos de controle são obtidos pelo NIST. Depois que o oficial de autorização (AO) fornece a aprovação, o pacote de autorização passa para o estado Implementar.