NIST RMF Unterstützende Konzepte

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer
  • Machen Sie sich mit diesen Konzepten vertraut, die aus entwickelt wurden NIST RMFAnleitung.

    Hinweis:
    Ab Version 10.1,0 NIST RMF Use Case AcceleratorWird nur für Kunden unterstützt, die das Produkt derzeit verwenden. Neue und vorhandene Kunden sollten die Verwendung der Anwendung „GRC: Kontinuierliche Autorisierungsüberwachung“ in Betracht ziehen. Für Details, Continuous Authorization and Monitoring.
    Konzept Beschreibung
    Zielvorgabe

    Das Ziel ist die Grundlage von NIST RMF Use Case AcceleratorUnd alle zugehörigen Konzepte.

    Das Ziel ist eine gemeinsam genutzte Tabelle zwischen ServiceNow® GRCProdukte und mehrere Anwendungsfall-Accelerators. Sie ähneln dem Konzept von Profilen im Kern GRCAnwendungen. Sie sind optional mit Profilen verknüpft, werden jedoch für alle Attribute verwendet, die spezifisch für die Anwendungsfall-Accelerators sind.
    Hinweis:
    Jedes NIST-RMF-Ziel stellt eindeutig ein einzelnes Profil während seines RMF-Lebenszyklus dar.
    Vertraulichkeit (C) Vertraulichkeit ist ein Sicherheitsziel eines Ziels und ist definiert als der Akt der Wahrung autorisierter Einschränkungen für den Zugriff auf und die Offenlegung von Informationen, einschließlich Maßnahmen zum Schutz personenbezogener Daten und proprietärer Informationen. Vertraulichkeit wird als hoch, Mittel und Niedrig ausgedrückt
    Integrität (I) „Integrität“ ist ein Sicherheitsziel eines Ziels. Dies ist definiert als Schutzmaßnahme gegen unsachgemäße Änderung oder Vernichtung von Informationen und umfasst die Sicherstellung der Nichtwiderachtung und Authentizität von Informationen. Integrität wird als hoch, Mittel und Niedrig ausgedrückt
    Verfügbarkeit (A) „Verfügbarkeit“ ist ein Sicherheitsziel eines Ziels, das definiert ist als ein Akt zur Sicherstellung eines rechtzeitigen und zuverlässigen Zugriffs auf Informationen und ihrer Verwendung. Die Verfügbarkeit wird als hoch, Mittel und Niedrig ausgedrückt
    Baseline-Kontrollen Baseline-Steuerungen sind empfohlene Sicherheitssteuerungen des National Institute of Standards and Technology (NIST), die bei Implementierung und als effektiv eingestuft werden, das Sicherheitsrisiko mindern und gleichzeitig die Sicherheitsanforderungen erfüllen würden. Baseline-Steuerungen haben einen festgelegten Auswirkungswert, der eine Kombination aus Werten „hoch“, „Mittel“ oder „Niedrig“ ist.
    Auswirkungsanalyse Die Auswirkungsanalyse bestimmt das Ausmaß, in dem vorgeschlagene oder tatsächliche Änderungen am Ziel oder seiner Betriebsumgebung den Sicherheitsstatus des Ziels beeinträchtigen oder sich auf ihn ausgewirkt haben können. Ein Ziel, in dem alle drei CIA-Sicherheitsziele als „Niedrig“ bewertet werden, gilt als „geringe Auswirkung“ und verwendet eine der Sicherheitskontrollen, die als „Wert für geringe Auswirkung“ gekennzeichnet sind. Ebenso gilt ein Ziel, bei dem eines der drei CIA-Sicherheitsziele als „Mittel“ bewertet wird, als „moderate Auswirkung“ und verwendet eine der Sicherheitskontrollen, die als Wert für „moderate Auswirkung“ gekennzeichnet sind. Ebenso gilt ein Ziel, bei dem eines der drei CIA-Sicherheitsziele als „hoch“ bewertet wird, als „hoch“ und verwendet eine der Sicherheitskontrollen, die als „hoch Impact-Wert“ gekennzeichnet sind.
    Sicherheit Sicherheitskontrollen erhöhen sowohl die Sicherheit als auch den Grad der Sicherheit, dass die Funktionalität von Zielen korrekt, vollständig und konsistent ist, und würden das Sicherheitsrisiko mindern und bei der Erfüllung der Sicherheitsanforderungen helfen
    Verbreitet Allgemeine Steuerungen sind Steuerungen, die von einem oder mehreren Zielen geerbt werden können
    Ausgleich Ausgleichssteuerungen sind Steuerungen, die anstelle der empfohlenen Baseline-Sicherheitskontrollen verwendet werden können und gleichwertigen oder vergleichbaren Schutz für die Ziele bieten
    Ergänzend Zusätzliche Steuerungen sind Steuerungen, die als zusätzliche Sicherheitskontrollen verwendet werden können, um die Risikomanagementanforderungen eines Ziels angemessen zu erfüllen
    Anpassung Die Anpassung ist ein Prozess, durch den eine Sicherheitssteuerungsbasis basierend auf folgenden Elementen geändert wird: (i) Zielleitfaden für die Umfangsdefinition; (II) Spezifikation der Sicherheitskontrollen, z. B. Ausgleich bei Bedarf; und (III) der Spezifikation der Organisation – definierte Parameter in den Sicherheitskontrollen über explizite Zuweisungs- und Auswahlanweisungen