Vaihe 4, tehtävä 1: Turvallisuusvalvonnan arviointisuunnitelma

Turvallisuusvalvontakeinojen arvioija laatii yksityiskohtaisen arviointisuunnitelman, jota käytetään karttana riippumattoman turvallisuusvalvonnan arvioinnin suorittamisessa. Suunnitelmassa määritellään, mitkä järjestelmän osat arvioidaan, mitä automaattisia työkaluja tai manuaalisia prosesseja käytetään ja mitkä ovat testauksen rajat. Testisuunnitelmaan olisi myös sisällyttävä sovitut toimintasäännöt, jotka tietojärjestelmän omistaja ja valtuuttava virkamies ovat hyväksyneet. Näissä ROO:ssa olisi määriteltävä tietoturva-arvioinnin laajuus ja syvyys, yhteyspisteet (POC) testitapahtuman aikana tapahtuvia tapahtumia tai vaaratilanteita varten, hyväksyttävät työkalut ja tekniikat, jotka on hyväksytty arvioinnin suorittamista varten, sekä käyttöoikeustasot, joita edellytetään onnistuneen arvioinnin tai testitapahtuman suorittamiseksi. Testisuunnitelma laaditaan tietojärjestelmän omistajan turvavalvonnan arvioijalle esittämän tietojärjestelmän olemassa olevan todistusaineiston perusteella, mukaan lukien järjestelmien turvallisuussuunnitelma (SSP), suunnittelu-, arkkitehtuuri- ja toimintaperiaateasiakirjat, käyttäjä- ja järjestelmänvalvojan oppaat sekä aiemmat testisuunnitelmat ja testitulokset. Täydellisellä BOE:lla varmistetaan tässä vaiheessa, että arvioija ymmärtää tietojärjestelmän sellaisena kuin se on rakennettu, vaaditulla yksityiskohtaisuustasolla, jonka avulla turvallisuusvalvontakomitea voi laatia testaussuunnitelman, jolla testataan riittävällä tavalla järjestelmän tietoturvatilanne ja vaadittujen turvavalvontakeinojen toteuttaminen järjestelmässä. Valvontakeinoja, jotka on arvioinut ja todennut arvioija, jonka valtuuttava virkamies on katsonut riippumattomaksi (RMF:n aiemmissa vaiheissa) ja jonka on katsottu tarjoavan riittävät suojaukset ja vaatimustenmukaisuuden järjestelmälle tai yhteisen valvontakeinon tarjoajalle, ei tarvitse arvioida uudelleen; alkuperäisen riippumattoman arvioinnin tuloksia voidaan käyttää todisteena kyseisen valvontakeinon vaatimuksen noudattamisesta. Tapauksissa, joissa arvioijaa ei ole pidetty riippumattomana, riippumaton valvonta-arvioija voi käyttää arviointisuunnitelmaa ja -tuloksia muodostamaan perustason tietojärjestelmän vaatimustenmukaisuudesta arvioinnin nopeuttamiseksi, jos aiempaa testaussuunnitelmaa pidetään riittävänä. Jos aiempi suunnitelma ei ole riittävä, riippumattoman valvonnan arvioijan on parannettava sitä, kirjoitettava se uudelleen tai kehitettävä se tyhjästä.

Arviointisuunnitelmassa esitetään riippumattoman valvonnan arvioijan testitapahtuman tavoitteet. Tässä valvontakontrollien arvioinnin suunnitelmassa määritetään, kuka testitapahtuman suorittaa, ja menettelyt, joita käytetään sen vahvistamiseksi, että turvakontrollit ovat käytössä ja toimivat suunnitellulla tavalla turvallisuuden ja vaatimustenmukaisuuden takaamiseksi. Täysin valmis suunnitelma palvelee organisaatiota kahdessa tarkoituksessa. Ensinnäkin siinä asetetaan asianmukaiset odotukset turvavalvonnan arviointia varten määrittelemällä menettelyt, joita käytetään järjestelmän tai valvonnan tarjoajan arvioinnissa, sekä testin rajat ja laajuus. Seuraavaksi se sitoo arvioijat määriteltyyn työmäärään ja varmistaa, että resursseja ei tuhlaannu liian monimutkaiseen testaukseen ja että tuloksena on turvavalvontatarpeiden oikea arviointi. Joissakin tapauksissa tarvitaan monimutkaista testausstrategiaa järjestelmän tai sen sisältämien tietojen kriittisyyden vuoksi. Kaikissa tapauksissa turvallisuusvalvonnan arvioinnin monimutkaisuuden ja yksityiskohtaisuuden tason tulisi olla oikeassa suhteessa järjestelmän tai yhteisen valvontakokonaisuuden kriittisyyteen.

Järjestelmässä toteutettavaksi vaadittavien turvallisuusvalvontakeinojen testaamiseen käytetään kolmea päätyyppiä: kehitystestaus- ja arviointiarviointi, riippumaton verifiointi- ja validointiarviointi (IV&V) ja kolmas tyyppi, joka tukee jotakin seuraavista: valtuutusta tai uudelleenvaltuutusta tukevat arvioinnit, jatkuvan seurannan arvioinnit ja korjaavien toimenpiteiden eli regressioarvioinnit. Valtuutuksen myöntävän virkamiehen määrittelemä riippumaton arviointiryhmä vaaditaan valtuutuksen tai uudelleenvaltuutuksen arviointeja varten. Tätä riippumattomuutta tarvitaan myös IV&V-arvioinneissa, mukaan lukien arvioinnit, jotka on suunniteltu siten, että niiden tuloksia käytetään IV&V- tai arviointi-/uudelleenarviointitesteissä, kuten järjestelmän kehittämisen alkuvaiheessa tehtävissä testeissä. Usein on edullisempaa, että kaikkien tämäntyyppisten arviointien suorittamista varten on nimetty riippumaton arvioijaryhmä, jotta voidaan varmistaa, että tuloksia voidaan käyttää valtuutus- ja uudelleenvaltuutustapahtumien sekä IV&V:n tukena. Riippumattomuus edellyttää, että arvioijalla ei ole todellisia tai oletettuja eturistiriitoja järjestelmän turvavalvonnan suunnittelun ja kehittämisen suhteen. Tämän riippumattomuustason saavuttamiseksi hyväksyntäviranomainen voi kääntyä suunnittelu- ja kehitystiimistä erillään olevan organisaation, kuten muiden organisaatioiden tai alihankintaryhmän, puoleen riippumattomien ja turvavalvonnan arviointien suorittamiseksi. Jos käytetään sopimussuhteisia resursseja, on tärkeää, että järjestelmän omistaja ei ole suoraan mukana sopimuksentekoprosessissa, jotta voidaan varmistaa valvonnan arvioijien riippumattomuus.

Turvallisuustestaussuunnitelmassa olisi määriteltävä, minkä tyyppisiä manuaalisia ja automatisoituja työvälineitä käytetään testaustapahtumassa; maksimaalinen tehokkuus saavutetaan hyödyntämällä automatisoituja testejä ja testimenettelyjä turvallisuusvalvonnan arviointeja tehtäessä aina kun mahdollista. Kun valvonnan validointiin käytetään automaattista arviointityökalua tai testaussovellusta, testaussuunnitelmassa on ilmoitettava käytetyn automaattisen työkalun asetukset, profiilit, liitännäiset ja muut konfigurointiasetukset. On monia tapauksia, joissa automatisoidut työkalut eivät pysty arvioimaan turvavalvontaa tai niitä on vahvistettava manuaalisilla prosesseilla ja menettelyillä. Näissä tapauksissa manuaaliset menettelyt on dokumentoitava täydellisesti, mukaan lukien suoritetut vaiheet, syötetyt komennot ja valitut valikkokohdat. Yksityiskohtainen dokumentointi varmistaa, että testi voidaan toistaa tarkasti, ja vastavuoroisuuden tapauksessa se antaa testisuunnitelmaa osana todistusaineistoa tarkastaville henkilöille mahdollisuuden ymmärtää, miten kukin valvonta arvioitiin.

Kunkin turvavalvontakeinon erityisen testaustehtävän suorittamiseksi toteutettujen vaiheiden dokumentoinnin lisäksi on tärkeää dokumentoida testitapahtuman odotettu tulos. Tämä luetellaan yleensä kunkin valvonnan testatun tapahtuman osana, yleensä yksityiskohtaisten testivaiheiden jälkeen. Tämän dokumentoinnin avulla SCA ja muut asianomaiset osapuolet voivat tietää järjestelmän tai laitteen odotetun tuloksen, joka johtaa kyseisen testitapahtuman onnistuneeseen läpäisyyn. Joissakin tapauksissa on useita hyväksyttäviä tuloksia; tällaisten tapahtumien osalta voi olla järkevämpää luetella tulokset, jotka johtaisivat testitapahtuman hylkäämiseen; tällöin testaussuunnitelmassa olisi mainittava, että kaikki muut kuin luetellut tulokset osoittavat, että valvonta on toteutettu oikein.

Sen lisäksi, että turvavalvonnan arvioijan on oltava riippumaton, hänellä on oltava runsaasti teknistä asiantuntemusta teknisten, toiminnallisten ja hallinnollisten valvontatoimien toteuttamisesta ja arvioinnista. Nämä kolme valvontatyyppiä voidaan toteuttaa yleisinä kontrolleina, järjestelmäkohtaisina kontrolleina tai hybridikontrolleina sen mukaan, miten järjestelmä on kehitetty ja suunniteltu. Tästä syystä arvioijalla on oltava kokemusta monenlaisten valvontatoteutusten arvioinnista useissa eri ympäristöissä ja tekniikoissa.

Testitapahtumat ovat yleensä teknisiä; joihinkin testitapahtumiin liittyy kuitenkin dokumentaation tarkastelu, kun taas jotkin tutkinta- ja haastattelutehtävät edellyttävät jonkinlaista teknistä arviointia – tavallisimmin systeemiasetusten tarkastelua tai tulostusta. Vaikka virallista määritelmää ei olekaan, yleissääntö on, että tenttitapahtumissa keskitytään dokumentaation tai järjestelmän tuotoksen tarkasteluun, haastattelutapahtumissa keskitytään keskusteluun eri henkilöiden kanssa ja testaustapahtumat ovat teknisiä arviointeja. Valvontakomitea käyttää näitä vaatimuksia varmistaakseen, että sen laatimassa testaussuunnitelmassa käsitellään sitä tapaa, jolla valvonta olisi arvioitava. Alphassa on myös kolme liitettä, joista voi olla apua tässä vaiheessa. Liitteessä D määritellään arviointimenetelmät, sovellettavat kohteet ja attribuutit; liitteessä G selitetään, miten SAR ja SAR-malli kehitetään; ja liitteessä G kerrotaan yksityiskohtaisesti, miten arviointitapauksia luodaan testaussuunnitelmaa varten, sekä annetaan esimerkkejä arviointitapauksista, joita voidaan käyttää malleina.

Testauksen syvyyden ja kattavuuden määrittäminen on tärkeää, kun kehitetään turvallisuusvalvonnan arviointia tai testaussuunnitelmaa, koska arvioinnissa tai suunnitelmassa asetetaan kunkin valvontakohteen testaukseen käytettävän panostuksen taso. Nämä tekijät määrittelevät kullekin tietylle valvontakeinolle vaadittavan testauksen ankaruuden ja laajuuden, ja se on hierarkkinen, ja se tarjoaa lisääntyneitä arviointivaatimuksia joidenkin tietojärjestelmien tarvitsemien lisääntyneiden takeiden vuoksi. Arvioinnin syvyys määrittää tietoturvavalvontakeinojen täydelliseen testaamiseen vaadittavan yksityiskohtaisuuden tason, ja se voi olla yksi kolmesta ominaisuudesta: perus, kohdennettu tai kattava. Kattavuus määrittelee arvioinnin laajuuden, ja se sisältää samat ominaisuudet kuin perus, kohdennettu ja kattava. Organisaatio määrittää nämä syvyys- ja kattavuusominaisuudet määritellessään koko organisaation laajuista riskinhallintaohjelmaa, joka tukee RMF:ää. Tavallisesti tietojärjestelmien varmuusvaatimusten kasvaessa kasvavat myös turvallisuusvalvonnan arvioinnin laajuutta ja tarkkuutta koskevat vaatimukset. NIST SP 800-53A:n liitteessä D määritellään syvyys- ja kattavuusvaatimukset kullekin arviointimenetelmälle eli tutkimiselle, haastattelulle ja testaukselle. Osa tästä asiakirjasta on toistettu liitteessä D tarkoituksenmukaisuuden vuoksi; ennen arviointisuunnitelman laatimisen loppuunsaattamista tietoturvakontrollien arvioijan on kuitenkin tarkistettava, että nämä tiedot ovat ajan tasalla; viimeisin hyväksytty versio löytyy NIST:n verkkosivuilta.

Tämä on parannus tärkeimpään turvavalvontaan AC-3. Siinä tarkistetaan kaksi keskeistä parannusta, jotka on toteutettava järjestelmissä, joissa tämä valvonta on pakollinen. Kuten arviointitavoitteesta (i) käy ilmi, parannuksella todennetaan, että organisaatio on tunnistanut järjestelmän tiedot, jotka on salattava tai tallennettava offline-tilassa, ja kuten osasta (ii) käy ilmi, että organisaatio todella salaa tai tallentaa nämä tiedot offline-tilassa. Arviointimenetelmissä ja -kohteissa määritellään, mitä näiden kahden osatekijän arviointi edellyttää. Tässä tapauksessa kaikki kolme menetelmää – tutki, haastattele ja testaa – tarvitaan parannuksen täydelliseen arviointiin.

Turvavalvonnan arviointisuunnitelmaa laatiessaan turvavalvonnan arvioija kehittää ensin menetelmän järjestelmän tutkimiseksi. SCA arvioi menetelmiä tutkintamenetelmän ”select from”-osiossa. SCA voi tutkia mitä tahansa tai kaikkia seuraavista asiakirjoista: pääsynvalvontapolitiikka, pääsyn valvontaa koskevat menettelyt, tietojärjestelmän suunnitteludokumentaatio, tietojärjestelmän konfiguraatioasetukset ja niihin liittyvä dokumentaatio, tietojärjestelmän tarkastuspöytäkirjat ja muut asiaankuuluvat asiakirjat tai tallenteet. Arvioija arvioi tälle parannukselle määritellyn testausmenetelmän ja laatii sen jälkeen testaussuunnitelman automaattisten mekanismien arvioimiseksi, joilla toteutetaan pääsynvalvontatoiminnot. Seuraavaksi arvioija tarkastelee järjestelmän toimittamaa BOE:ta määrittääkseen tekniikat, joita käytetään joko salauksen tai offline-tallennuksen toteuttamiseen vaadittujen tietotyyppien osalta, mukaan lukien testimenettelyn tulokset tai odotetut arviointitulokset. Lopuksi arvioija toteaa, että tähän parannukseen liittyy haastatteluvaatimus, joten arvioinnin aikana suoritetaan haastatteluosuus. Vaikka sitä ei vaadita, jotkut arvioijat kehittävät käsikirjoituksen haastattelun suorittamiseksi, ja toiset käyttävät vain arvioinnin muiden menetelmien (examine ja test) tuloksia haastattelukysymysten määrittämiseksi tapauskohtaisesti testin aikana.

Joka tapauksessa haastattelun tulosten pitäisi tukea sellaisen järjestelmän tunnistamista ja arviointia, jossa tämä lisäys on toteutettu oikein, ja joka vastaa examine-osiossa ja testituloksissa esiin tulleita dokumentoituja vaatimuksia. Näin varmistetaan, että järjestelmän tukihenkilöt ymmärtävät organisaation ja järjestelmän omistajien määrittelemät vaatimukset tälle parannukselle. Jos arvioinnin tuloksena on epäonnistuminen jollakin menetelmällä, valvonta merkitään epäonnistuneeksi tai osittain hyväksytyksi/osittain epäonnistuneeksi, riippuen arvioinnin toimintasäännöistä.

Tämän tehtävän tuloksena on täysin kehitetty, tarkistettu ja hyväksytty testaussuunnitelma, jossa määritellään turvallisuusvalvonnan arvioijat, arviointiprosessi ja arvioinnin rajat ja joka sisältää hyväksytyt toimintasäännöt. Arviointiryhmän riippumattomuus on määritelty, ja tietyissä tapauksissa on käytettävä riippumattomia arvioijia, jotka valtuuttava virkamies on määritellyt. Kun testisuunnitelma on laadittu ja tarkistettu, valtuutettu viranomainen hyväksyy sen.

Liitteessä G on esimerkki turvavalvonnan arviointisuunnitelmasta

.