NIST RMF Unterstützende Konzepte
Machen Sie sich mit diesen Konzepten vertraut, die aus entwickelt wurden NIST RMF Anleitung.
Hinweis:
Ab Version 10.1,0 NIST RMF Use Case Accelerator Wird nur für Kunden unterstützt, die das Produkt derzeit verwenden. Neue und Bestandskunden sollten die Verwendung der Anwendung GRC: Kontinuierliche Autorisierungsüberwachung in Betracht ziehen. Für Details, Continuous Authorization and Monitoring.
| Konzept | Beschreibung |
|---|---|
| Zielvorgabe | Das Ziel ist die Grundlage von NIST RMF Use Case Accelerator Und alle zugehörigen Konzepte. Das Ziel ist eine gemeinsame Tabelle zwischen ServiceNow® GRC Produkte und mehrere Anwendungsfall-Accelerators. Sie ähneln dem Konzept von Profilen im Kern GRC Anwendungen. Sie sind optional mit Profilen verknüpft, werden jedoch für alle Attribute verwendet, die für die Anwendungsfall-Accelerators spezifisch sind. Hinweis: Jedes NIST-RMF-Ziel stellt während seines gesamten RMF-Lebenszyklus eindeutig ein einzelnes Profil dar. |
| Vertraulichkeit (C) | Vertraulichkeit ist ein Sicherheitsziel eines Ziels und ist definiert als der Akt der Wahrung autorisierter Einschränkungen für den Zugriff auf und die Offenlegung von Informationen, einschließlich Maßnahmen zum Schutz personenbezogener Daten und proprietärer Informationen. Vertraulichkeit wird als hoch, Mittel und Niedrig ausgedrückt |
| Integrität (I) | „Integrität“ ist ein Sicherheitsziel eines Ziels, das als Schutzmaßnahme gegen unsachgemäße Änderung oder Vernichtung von Informationen definiert ist, und umfasst die Sicherstellung der Nichtwiderachtung und Authentizität von Informationen. Die Integrität wird als hoch, Mittel und Niedrig ausgedrückt |
| Verfügbarkeit (A) | „Verfügbarkeit“ ist ein Sicherheitsziel eines Ziels. Es wird definiert, um einen rechtzeitigen und zuverlässigen Zugriff auf und die Verwendung von Informationen sicherzustellen. Die Verfügbarkeit wird als hoch, Mittel und Niedrig ausgedrückt |
| Baseline-Kontrollen | Baseline-Steuerungen sind empfohlene Sicherheitssteuerungen des National Institute of Standards and Technology (NIST), die bei Implementierung und Feststellung als effektiv das Sicherheitsrisiko verringern und gleichzeitig die Sicherheitsanforderungen erfüllen würden. Baseline-Steuerungen haben einen festgelegten Auswirkungswert, der eine Kombination aus hoch, Mittel oder Niedrig ist. |
| Auswirkungsanalyse | Die Auswirkungsanalyse bestimmt das Ausmaß, in dem vorgeschlagene oder tatsächliche Änderungen am Ziel oder seiner Betriebsumgebung den Sicherheitsstatus des Ziels beeinträchtigen oder sich auf ihn ausgewirkt haben können. Ein Ziel, in dem alle drei CIA-Sicherheitsziele als „Niedrig“ bewertet werden, gilt als „geringe Auswirkung“ und verwendet eine der Sicherheitskontrollen, die als Wert für geringe Auswirkung gekennzeichnet sind. Ebenso gilt ein Ziel, bei dem eines der drei CIA-Sicherheitsziele als moderat bewertet wird, als moderat Auswirkung und verwendet eine der Sicherheitskontrollen, die als moderater Auswirkungswert gekennzeichnet sind. Ebenso gilt ein Ziel, bei dem eines der drei CIA-Sicherheitsziele als hoch bewertet wird, als hoch auswirkend und verwendet eine der Sicherheitskontrollen, die als Wert mit hoher Auswirkung gekennzeichnet sind. |
| Sicherheit | Sicherheitskontrollen erhöhen sowohl die Sicherheit als auch den Grad der Sicherheit, dass die Funktionalität von Zielen richtig, vollständig und konsistent ist, und würden das Sicherheitsrisiko minimieren und bei der Erfüllung der Sicherheitsanforderungen helfen |
| Verbreitet | Allgemeine Steuerungen sind Steuerungen, die von einem oder mehreren Zielen vererbt werden können |
| Ausgleich | Ausgleichssteuerungen sind Steuerungen, die anstelle der empfohlenen Baseline-Sicherheitskontrollen verwendet werden können und einen gleichwertigen oder vergleichbaren Schutz für die Ziele bieten |
| Ergänzend | Zusätzliche Steuerungen sind Steuerungen, die als zusätzliche Sicherheitskontrollen verwendet werden können, um die Risikomanagementanforderungen eines Ziels angemessen zu erfüllen |
| Anpassung | Die Anpassung ist ein Prozess, durch den eine Sicherheitssteuerungsbasis basierend auf folgenden Elementen geändert wird: (i) Zielleitfäden für die Umfangsdefinition; (II) Spezifikation der Sicherheitskontrollen, z. B. Ausgleich bei Bedarf; und (III) der Spezifikation der Organisation – definierte Parameter in den Sicherheitskontrollen über explizite Zuweisungs- und Auswahlanweisungen |