Fáze 4, úkol 1: Plán posouzení bezpečnostních kontrol

Posuzovatel bezpečnostních kontrol vypracuje podrobný plán posouzení, který bude sloužit jako mapa pro provedení nezávislého posouzení bezpečnostních kontrol. Tento plán specifikuje, které komponenty systému budou posuzovány, jaké automatizované nástroje nebo manuální postupy budou použity a jaké budou hranice testu. Plán testování by měl také obsahovat dohodnutá pravidla zapojení (ROE), která byla schválena vlastníkem informačního systému a schvalujícím úředníkem. Tato ROE by měla definovat rozsah a hloubku posouzení bezpečnosti, kontaktní místa (POC) pro události nebo incidenty, které se vyskytnou během testovací akce, přijatelné nástroje a techniky schválené pro provádění posouzení a úrovně přístupu potřebné pro dokončení úspěšného posouzení nebo testovací akce. Plán testů se vypracovává na základě stávajícího souboru důkazů informačního systému (BOE), který vlastník informačních systémů předkládá hodnotiteli bezpečnostních kontrol, včetně plánu zabezpečení systémů (SSP), technických, architektonických a politických dokumentů, uživatelských a administrátorských příruček a předchozích plánů testů a výsledků testů. Kompletní BOE v tomto bodě zajišťuje, ţe posuzovatel rozumí informačnímu systému tak, jak byl vytvořen, a to v poţadované míře podrobnosti, která umoţní orgánu SCA vypracovat plán testů, který adekvátně otestuje bezpečnostní pozici systému a implementaci poţadovaných bezpečnostních kontrol v systému. Kontroly, které byly posouzeny a ověřeny posuzovatelem, který byl schvalujícím úředníkem shledán nezávislým (během předchozích kroků RMF), ţe poskytují dostatečnou ochranu a shodu pro systém nebo společného poskytovatele kontrol, nebude třeba znovu posuzovat; výsledky původního nezávislého posouzení lze pouţít jako důkaz shody s poţadavkem na danou kontrolu. V případě, ţe posuzovatel nebyl povaţován za nezávislého, můţe plán a výsledky posouzení pouţít nezávislý posuzovatel kontroly k vytvoření výchozího stavu shody informačního systému pro urychlení posouzení, pokud je předchozí plán testů povaţován za dostatečný. Pokud předchozí plán není adekvátní, bude jej muset nezávislý posuzovatel kontroly vylepšit, přepsat nebo vypracovat od začátku.

Plán posuzování stanoví cíle testovací akce nezávislých posuzovatelů kontroly bezpečnosti. Tento plán posouzení kontrol určuje, kdo bude testovací událost provádět, a postupy, které budou použity k ověření, zda jsou bezpečnostní kontroly zavedeny a fungují tak, jak byly navrženy pro zajištění bezpečnosti a shody. Kompletně vypracovaný plán slouží organizaci ke dvěma účelům. Zaprvé stanoví vhodná očekávání pro posouzení bezpečnostní kontroly tím, že definuje postupy, které budou použity k posouzení systému nebo poskytovatele kontroly, a také hranice a rozsah testu. Dále zavazuje posuzovatele k definované úrovni úsilí, čímž zajišťuje, že zdroje nebudou vyplýtvány na příliš složité testování, a vede ke správnému posouzení požadavků na bezpečnostní kontroly. V některých případech je zapotřebí komplexní strategie testování na základě kritičnosti systému nebo informací, které obsahuje. Ve všech případech by měla být úroveň složitosti a podrobnosti posouzení bezpečnostních kontrol úměrná kritičnosti systému nebo společného souboru kontrol.

Existují tři hlavní typy posouzení, které se používají k testování bezpečnostních kontrol, které je třeba v systému implementovat: posouzení vývojového testu a vyhodnocení, nezávislé ověření a validace (IV&V) a třetí typ, který podporuje některou z následujících činností: posouzení podporující autorizaci nebo opětovnou autorizaci, posouzení průběžného monitorování a posouzení nápravy nebo regrese. Pro autorizační nebo reautorizační posouzení je vyžadován nezávislý hodnotící tým definovaný autorizujícím úředníkem. Tato úroveň nezávislosti je nutná také pro posouzení IV&V, včetně posouzení určených k tomu, aby jejich výsledky byly použity v rámci IV&V nebo testování posouzení/opětovného posouzení, jako jsou testy prováděné na počátku vývoje systému. Často je výhodnější mít specializovaný tým nezávislých posuzovatelů pověřený prováděním všech těchto typů posouzení, aby bylo zajištěno, že výsledky mohou být použity pro podporu autorizačních a opakovaných autorizačních akcí i IV&V. Nezávislost znamená, ţe posuzovatel není vystaven ţádnému skutečnému nebo domnělému střetu zájmů s ohledem na návrh a vývoj bezpečnostních kontrol systému. Aby bylo dosaženo této úrovně nezávislosti, můţe se autorizující osoba obrátit na organizaci, která je oddělená od návrhového a vývojového týmu, včetně jiných organizací nebo smluvního týmu, aby provedla nezávislé posouzení a posouzení bezpečnostních kontrol. Pokud jsou vyuţívány smluvní zdroje, je důleţité, aby vlastník systému nebyl přímo zapojen do procesu uzavírání smluv, aby byla zajištěna nezávislost posuzovatelů kontrol.

Plán bezpečnostních testů by měl definovat typy manuálních a automatizovaných nástrojů, které budou pouţity při testovací akci; maximální účinnosti lze dosáhnout vyuţitím automatizovaných testů a testovacích postupů při provádění posouzení bezpečnostních kontrol, kdykoli je to moţné. Při použití automatizovaného nástroje pro hodnocení nebo testovací aplikace pro ověření kontroly by měl plán testů uvádět nastavení, profily, zásuvné moduly a další konfigurační nastavení použitého automatizovaného nástroje. Existuje mnoho případů, kdy automatizované nástroje nemohou posoudit bezpečnostní kontrolu nebo bude třeba je posílit manuálními procesy a postupy. V těchto případech je třeba manuální postupy plně zdokumentovat, včetně provedených kroků, zadaných příkazů a vybraných položek nabídky. Podrobná dokumentace zajišťuje, ţe test lze přesně zopakovat, a v případě reciprocity umoţňuje osobám, které kontrolují plán testů jako součást souboru důkazů, pochopit, jak byla kaţdá kontrola vyhodnocena.

Kromě dokumentace kroků provedených k dokončení konkrétní testovací úlohy pro kaţdou bezpečnostní kontrolu je důleţité dokumentovat očekávaný výsledek testovací události. Ten se obvykle uvádí jako část testované události pro každou kontrolu, obvykle za podrobnými kroky testu. Tato dokumentace umožňuje orgánu SCA a dalším zainteresovaným stranám znát očekávaný výstup ze systému nebo zařízení, který povede k úspěšnému absolvování dané konkrétní testovací události. V některých případech existuje více výsledků, které jsou přijatelné; pro tyto události může být rozumnější uvést seznam výstupů, které by vedly k neúspěšnému absolvování testovací události; v plánu testů by pak mělo být uvedeno, že jakýkoli výsledek kromě těch, které jsou uvedeny, naznačuje, že kontrola je implementována správně.

Kromě toho, že je posuzovatel bezpečnostní kontroly nezávislý, měl by mít dobrou technickou odbornost v oblasti implementace a posuzování technických, provozních a řídicích kontrol. Tyto tři typy kontrol mohou být implementovány jako běžné kontroly, mohou být specifickými kontrolami systému nebo mohou být implementovány jako hybridní kontroly podle toho, jak byl systém vyvinut a navržen. Z tohoto důvodu musí mít hodnotitel zkušenosti s hodnocením široké škály implementací kontrol v řadě různých prostředí a technologií.

Obecně jsou testovací události technické; některé testovací události však zahrnují přezkoumání dokumentace, zatímco některé úlohy zkoumání a rozhovoru vyžadují formu technického hodnocení – nejčastěji přezkoumání nastavení systému nebo výstupu. Ačkoli se nejedná o oficiální definici, obecným pravidlem je, že události zkoušek se zaměřují na přezkoumání dokumentace nebo výstupu systému, události rozhovorů se zaměřují na rozhovory s různými osobami a události testů jsou technickým hodnocením. SCA využije tyto požadavky k tomu, aby se ujistil, že plán testů, který vypracovává, se zabývá konkrétním způsobem, jakým by měla být kontrola hodnocena. Alfa obsahuje také tři přílohy, které mohou být v tomto bodě užitečné. Dodatek D definuje metody hodnocení, použitelné objekty a atributy; dodatek G vysvětluje, jak vytvořit SAR a šablonu SAR, a dodatek G podrobně popisuje, jak vytvořit případy hodnocení pro plán testování, a také příklady případů hodnocení, které lze použít jako šablony.

Při vytváření hodnocení bezpečnostních kontrol nebo plánu testování je důležité určit hloubku a rozsah testování, protože hodnocení nebo plán stanoví úroveň úsilí použitého pro testování každé kontroly. Tyto faktory definují přísnost a rozsah testování požadovaného pro kaţdou konkrétní kontrolu a je hierarchické, coţ poskytuje zvýšené poţadavky na hodnocení pro zvýšené záruky potřebné pro některé informační systémy. Hloubka posouzení určuje úroveň podrobnosti potřebnou pro úplné testování bezpečnostních kontrol a může nabývat jedné ze tří hodnot atributů: základní, zaměřené nebo komplexní. Pokrytí definuje rozsah nebo šíři posouzení a zahrnuje stejné atributy základní, zaměřené a komplexní. Tyto atributy hloubky a pokrytí přiřazuje organizace při definování programu řízení rizik v rámci celé organizace, který bude podporovat RMF. Obvykle se s rostoucími poţadavky na zajištění informačních systémů zvyšují i poţadavky na rozsah a přísnost hodnocení bezpečnostních kontrol. Příloha D standardu NIST SP 800-53A definuje požadavky na hloubku a rozsah pro kaţdou z metod posuzování – zkoumání, rozhovor a testování. Části tohoto dokumentu byly pro usnadnění převzaty do přílohy D, nicméně před dokončením tvorby plánu hodnocení by si měl hodnotitel bezpečnostních kontrol ověřit, zda jsou tyto informace aktuální; poslední schválená verze je na webových stránkách NIST.

Jedná se o rozšíření hlavní bezpečnostní kontroly AC-3. Ověřuje dvě klíčová vylepšení, která musí být implementována v systémech, kde je tato kontrola povinná. Jak je uvedeno v cíli hodnocení (i), vylepšení ověřuje, že organizace identifikovala systémové informace, které mají být šifrovány nebo ukládány off-line, a jak je uvedeno v části (ii), že organizace tyto informace skutečně šifruje nebo ukládá off-line,. Metody a objekty hodnocení definují, co je třeba k posouzení těchto dvou složek. V tomto případě jsou pro úplné posouzení vylepšení nutné všechny tři metody – zkoumání, rozhovor a testování.

Při vypracování plánu posouzení bezpečnostních kontrol vypracuje posuzovatel bezpečnostních kontrol nejprve metodu pro zkoumání systému. SCA hodnotí metody v části „výběr z“ metody zkoumání. SCA může prozkoumat některý nebo všechny následující dokumenty: politiku řízení přístupu, postupy řešící vynucení přístupu, dokumentaci návrhu informačního systému, nastavení konfigurace informačního systému a související dokumentaci, záznamy o auditu informačního systému a další relevantní dokumenty nebo záznamy. Posuzovatel vyhodnotí metodu testování definovanou pro toto vylepšení a poté sestaví plán testování pro posouzení automatizovaných mechanismů, implementujících funkce vynucení přístupu. Dále posuzovatel přezkoumá předložený BOE systému, aby určil technologie, které budou použity k implementaci buď šifrování, nebo off-line ukládání požadovaných typů informací, včetně výstupu testovacího postupu nebo očekávaných výsledků posouzení. Nakonec posuzovatel poznamená, že toto vylepšení má požadavek na rozhovor, takže během posuzování se provede část rozhovoru. Ačkoli to není vyžadováno, někteří posuzovatelé vytvářejí skript pro provedení rozhovoru a jiní pouze používají výsledky z ostatních metod posuzování (zkouška a test) k určení otázek pro rozhovor ad hoc způsobem během testu.

V obou případech by výsledky rozhovoru měly podpořit identifikaci a hodnocení systému se správnou implementací tohoto vylepšení v souladu s dokumentovanými požadavky odhalenými v komponentě zkouška a výsledky testu. Tím je zajištěno, že podpůrný personál systému rozumí požadavkům na toto vylepšení, jak je definovala organizace a vlastníci systému. Pokud je výsledkem posouzení neúspěch některé z metod, bude kontrola uvedena jako neúspěšná nebo částečně úspěšná/částečně neúspěšná v závislosti na pravidlech hodnocení.

Výstupem tohoto úkolu je plně vypracovaný, přezkoumaný a schválený plán testování, který definuje hodnotitele bezpečnostní kontroly, proces hodnocení a hranice hodnocení a obsahuje schválené ROE. Je definována nezávislost hodnotícího týmu a v určitých případech je požadováno využití nezávislých hodnotitelů, které určí schvalující úředník. Po vypracování a přezkoumání plánu zkoušek jej schvaluje AO.

Část vzorového plánu hodnocení bezpečnostních kontrol je uvedena v dodatku G

.