NIST RMF conceitos de suporte
Familiarize-se com esses conceitos, desenvolvidos a partir de NIST RMF orientação.
Nota:
A partir da versão 10,1.0, o. NIST RMF Use Case Accelerator será compatível somente com clientes que usam o produto no momento. Clientes novos e existentes devem considerar o uso da aplicação GRC: Continuous Authorization Monitoring. Para obter detalhes, Monitoramento e autorização contínuos.
| Conceito | Descrição |
|---|---|
| Meta | O destino é a base do NIST RMF Use Case Accelerator e todos os conceitos relacionados. O destino é uma tabela compartilhada entre ServiceNow® GRC E vários Aceleradores de casos de uso. Eles são semelhantes ao conceito de perfis no núcleo GRC aplicações. Opcionalmente, eles são vinculados a perfis, mas são usados para todos os atributos específicos dos Aceleradores de caso de uso. Nota: Cada destino de RMF do NIST representa exclusivamente um único perfil em todo o ciclo de vida de RMF. |
| Confidencialidade (C) | A confidencialidade é um objetivo de segurança de um Destino e é definida como o ato de preservar restrições autorizadas ao acesso e divulgação de informações, incluindo meios para proteger a privacidade pessoal e as informações proprietárias. A confidencialidade é expressa como valores Alto, Moderado e Baixo |
| Integridade (I) | A integridade é um objetivo de segurança de um Destino é definido como o ato de proteção contra modificação ou destruição indevida de informações e inclui garantir a não rejeição e autenticidade das informações. A integridade é expressa como valores Alto, Moderado e Baixo |
| Disponibilidade (A) | A disponibilidade é um objetivo de segurança de um destino definido como o ato de garantir o acesso oportuno e confiável e o uso das informações. A disponibilidade é expressa como valores Alta, Moderada e Baixa |
| Controles de linha de base | Controles de linha de base são um conjunto recomendado de controles de segurança do National Institute of Standards and Technology (NIST) que, quando implementados e determinados como eficazes, mitigam o risco de segurança e cumprem os requisitos de segurança. Os controles de linha de base têm um valor de impacto designado que é uma combinação de valores Alto, Moderado ou Baixo. |
| Análise de impacto | A análise de impacto determina até que ponto as mudanças propostas ou reais no Destino ou em seu ambiente de operação podem afetar ou afetar o estado de segurança do Destino. Um destino no qual todos os três objetivos de segurança da CIA são avaliados como Baixo é considerado de baixo impacto e usa qualquer um dos controles de segurança marcados como Valor de baixo impacto. Da mesma forma, um destino no qual qualquer um dos três objetivos de segurança da CIA é avaliado como moderado é considerado impacto moderado e usa qualquer um dos controles de segurança marcados como valor de impacto moderado. Da mesma forma, um destino no qual qualquer um dos três objetivos de segurança da CIA é avaliado como Alto impacto é considerado Alto impacto e usa qualquer um dos controles de segurança marcados como Valor de alto impacto. |
| Garantia | Os controles de garantia aumentam a força da segurança e o grau de confiança de que a funcionalidade dos destinos está correta, completa e consistente, além de mitigar o risco de segurança e ajudar a cumprir os requisitos de segurança |
| Comum | Controles comuns são controles que são herdados por um ou mais destinos |
| Compensando | Controles de compensação são controles que podem ser empregados em vez de controles de segurança de linha de base recomendados e fornecem proteção equivalente ou comparável para os destinos |
| Complementar | Controles suplementares são controles que podem ser empregados como controles de segurança adicionais para atender adequadamente às necessidades de gestão de riscos de um destino |
| Ajuste | A adaptação é um processo pelo qual uma linha de base de controle de segurança é modificada com base em: (i) orientação de escopo de metas; (ii) especificação dos controles de segurança, por exemplo, compensação, se necessário; e (iii) a especificação dos parâmetros definidos pela organização nos controles de segurança por meio de declarações explícitas de atribuição e seleção |