Phase 4, tâche 1 : Plan d’évaluation des contrôles de sécurité

L’évaluateur des contrôles de sécurité élabore un plan d’évaluation détaillé qui servira de carte pour mener l’évaluation indépendante des contrôles de sécurité. Ce plan précise quels composants du système seront évalués, quels outils automatisés ou processus manuels seront utilisés, et quelles seront les limites du test. Le plan de test doit également inclure les règles d’engagement (RE) convenues qui ont été approuvées par le propriétaire du système d’information et le responsable de l’autorisation. Ces REO doivent définir la portée et la profondeur de l’évaluation de la sécurité, les points de contact (POC) pour les événements ou les incidents qui se produisent pendant l’événement de test, les outils et techniques acceptables approuvés pour effectuer l’évaluation, et les niveaux d’accès requis pour mener à bien une évaluation ou un événement de test. Le plan de test est élaboré à partir de l’ensemble des preuves existantes du système d’information (BOE) qui est présenté par le propriétaire du système d’information à l’évaluateur du contrôle de sécurité, y compris le plan de sécurité des systèmes (SSP), les documents d’ingénierie, d’architecture et de politique, les guides de l’utilisateur et de l’administrateur, ainsi que les plans de test et les résultats des tests précédents. Un BOE complet à ce stade garantit que l’évaluateur comprend le système d’information tel qu’il a été construit, avec le niveau de détail requis qui permettra au SCA de développer un plan de test qui teste de manière adéquate la posture de sécurité du système et la mise en œuvre par le système des contrôles de sécurité requis. Il n’est pas nécessaire de réévaluer les contrôles qui ont été évalués et vérifiés par un évaluateur jugé indépendant par l’ordonnateur (au cours d’étapes antérieures du RMF) comme fournissant des protections et une conformité suffisantes pour le système ou le fournisseur de contrôles communs ; les résultats de l’évaluation indépendante initiale peuvent être utilisés comme preuve de conformité avec l’exigence de ce contrôle. Dans les cas où l’évaluateur n’a pas été jugé indépendant, le plan d’évaluation et les résultats peuvent être utilisés par l’évaluateur de contrôle indépendant pour former une base de référence de la conformité du système d’information afin d’accélérer l’évaluation, si le plan de test précédent est jugé adéquat. Si le plan précédent n’est pas adéquat, il devra être amélioré, réécrit ou développé à partir de zéro par l’évaluateur de contrôle indépendant.

Le plan d’évaluation fournit les objectifs de l’événement de test des évaluateurs de contrôle de sécurité indépendants. Ce plan directeur pour l’évaluation des contrôles identifie qui mènera l’événement de test et les procédures qui seront utilisées pour valider que les contrôles de sécurité sont en place et fonctionnent comme prévu pour assurer la sécurité et la conformité. Un plan entièrement développé a deux objectifs pour l’organisation. Tout d’abord, il établit les attentes appropriées pour l’évaluation du contrôle de sécurité en définissant les procédures qui seront utilisées pour évaluer le système ou le fournisseur de contrôle, ainsi que les limites et la portée du test. Ensuite, elle contraint les évaluateurs à un niveau d’effort défini, garantissant que les ressources ne sont pas gaspillées dans des tests trop complexes, et aboutissant à une évaluation correcte des exigences en matière de contrôles de sécurité. Dans certains cas, une stratégie de test complexe est nécessaire en raison de la criticité du système ou des informations qu’il contient. Dans tous les cas, le niveau de complexité et de détail de l’évaluation des contrôles de sécurité doit être proportionnel à la criticité du système ou de l’ensemble de contrôles communs.

Il existe trois grands types d’évaluations utilisées pour tester les contrôles de sécurité devant être mis en œuvre dans le système : l’évaluation du test et de l’évaluation de développement, la vérification et la validation indépendantes (IV&V), et un troisième type, celui qui soutient l’un des éléments suivants : les évaluations soutenant l’autorisation ou la réautorisation, l’évaluation de la surveillance continue et les évaluations de remédiation, ou de régression. Une équipe d’évaluation indépendante, telle que définie par l’ordonnateur, est requise pour les évaluations d’autorisation ou de réautorisation. Ce niveau d’indépendance est également nécessaire pour les évaluations de l’IV&V, y compris les évaluations conçues pour que leurs résultats soient utilisés par l’IV&V ou les tests d’évaluation/réévaluation, tels que les tests effectués au début du développement du système. Souvent, il est plus avantageux d’avoir une équipe dédiée d’évaluateurs indépendants assignés à la conduite de tous ces types d’évaluations pour s’assurer que les résultats peuvent être utilisés pour soutenir les événements d’autorisation et de réautorisation ainsi que l’IV&V. L’indépendance implique que l’évaluateur est libre de tout conflit d’intérêt réel ou perçu en ce qui concerne la conception et le développement des contrôles de sécurité du système. Pour atteindre ce niveau d’indépendance, l’ordonnateur peut se tourner vers une organisation séparée de l’équipe de conception et de développement, y compris d’autres organisations ou une équipe contractuelle, pour effectuer des évaluations indépendantes et des évaluations des contrôles de sécurité. Si des ressources contractuelles sont utilisées, il est important que le propriétaire du système ne soit pas directement impliqué dans le processus contractuel afin de garantir l’indépendance des évaluateurs de contrôle.

Le plan de test de sécurité doit définir les types d’outils manuels et automatisés qui seront utilisés lors de l’événement de test ; une efficacité maximale peut être obtenue en utilisant des tests et des procédures de test automatisés lors de l’évaluation des contrôles de sécurité, dans la mesure du possible. En cas d’utilisation d’un outil d’évaluation automatisé ou d’une application de test pour valider le contrôle, le plan de test doit indiquer les paramètres, profils, plugins et autres paramètres de configuration de l’outil automatisé utilisé. Il existe de nombreux cas où les outils automatisés ne peuvent pas évaluer un contrôle de sécurité ou doivent être renforcés par des processus et des procédures manuels. Dans ces cas, les procédures manuelles doivent être entièrement documentées, y compris les étapes suivies, les commandes saisies et les éléments de menu sélectionnés. Une documentation détaillée garantit que le test peut être répété avec précision et, dans le cas de la réciprocité, elle permet aux personnes qui inspectent le plan de test dans le cadre de l’ensemble des preuves de comprendre comment chaque contrôle a été évalué.

En plus de documenter les étapes suivies pour réaliser la tâche de test spécifique à chaque contrôle de sécurité, il est important de documenter le résultat attendu de l’événement de test. Celui-ci est généralement répertorié comme une partie de l’événement testé pour chaque contrôle, généralement après les étapes de test détaillées. Cette documentation permet au SCA et aux autres parties intéressées de connaître le résultat attendu du système ou du dispositif, qui permettra de passer avec succès cet événement de test spécifique. Dans certains cas, plusieurs résultats sont acceptables ; pour ces événements, il peut être plus prudent d’énumérer les résultats qui entraîneraient l’échec de l’événement de test ; ensuite, le plan de test doit indiquer que tout résultat autre que ceux énumérés indique que le contrôle est mis en œuvre correctement.

En plus d’être indépendant, l’évaluateur de contrôle de sécurité doit avoir une bonne expertise technique dans la mise en œuvre et l’évaluation des contrôles techniques, opérationnels et de gestion. Ces trois types de contrôles peuvent être mis en œuvre comme des contrôles communs, être des contrôles spécifiques au système ou être mis en œuvre comme des contrôles hybrides, en fonction de la façon dont le système a été développé et conçu. Pour cette raison, l’évaluateur doit avoir de l’expérience dans l’évaluation d’un large éventail de mises en œuvre de contrôles dans un certain nombre d’environnements et de technologies différents.

Généralement, les événements de test sont techniques ; cependant, certains événements de test impliquent l’examen de la documentation, tandis que certaines tâches d’examen et d’entretien nécessitent une forme d’évaluation technique – le plus souvent l’examen des paramètres du système ou la sortie. Bien qu’il ne s’agisse pas d’une définition officielle, une règle générale veut que les événements d’examen se concentrent sur l’examen de la documentation ou de la sortie du système, que les événements d’entretien se concentrent sur les discussions avec différentes personnes et que les événements de test soient des évaluations techniques. Le SCA utilisera ces exigences pour s’assurer que le plan de test qu’il élabore tient compte de la manière spécifique dont le contrôle doit être évalué. L’alpha contient également trois annexes qui peuvent être utiles à ce stade. L’annexe D définit les méthodes d’évaluation, les objets applicables et les attributs ; l’annexe G explique comment développer un SAR et un modèle de SAR ; et l’annexe G détaille comment créer des cas d’évaluation pour un plan de test, ainsi que des exemples de cas d’évaluation qui peuvent être utilisés comme modèles.

Déterminer la profondeur et la couverture des tests est important lors du développement d’une évaluation des contrôles de sécurité ou d’un plan de test, car l’évaluation ou le plan fixe le niveau d’effort utilisé pour tester chaque contrôle. Ces facteurs définissent la rigueur et la portée des tests requis pour chaque contrôle spécifique et est hiérarchique, fournissant des exigences d’évaluation accrues pour les assurances accrues nécessaires pour certains systèmes d’information. La profondeur de l’évaluation détermine le niveau de détail requis pour le test complet des contrôles de sécurité et peut avoir l’une des trois valeurs d’attributs suivantes : basique, ciblée ou complète. La couverture définit la portée ou l’étendue de l’évaluation et comprend les mêmes attributs de base, ciblée et complète. Ces attributs de profondeur et de couverture sont attribués par l’organisation lors de la définition d’un programme de gestion des risques à l’échelle de l’organisation qui soutiendra le CGR. Normalement, à mesure que les exigences en matière d’assurance des systèmes d’information augmentent, les exigences relatives à la portée et à la rigueur de l’évaluation des contrôles de sécurité augmentent également. L’annexe D de la norme NIST SP 800-53A définit les exigences de profondeur et de couverture pour chacune des méthodes d’évaluation (examen, entretien et test). Des parties de ce document ont été reproduites dans l’annexe D pour des raisons de commodité ; cependant, avant de terminer l’élaboration du plan d’évaluation, l’évaluateur des contrôles de sécurité doit vérifier que ces informations sont à jour ; la dernière version approuvée se trouve sur le site Web du NIST.

Il s’agit d’une amélioration du contrôle de sécurité principal AC-3. Il vérifie deux améliorations clés qui doivent être mises en œuvre dans les systèmes où ce contrôle est mandaté. Comme indiqué par l’objectif d’évaluation (i), l’amélioration vérifie que l’organisation a identifié les informations du système à crypter ou à stocker hors ligne, et comme indiqué par la partie (ii), que l’organisation crypte ou stocke effectivement ces informations hors ligne,. Les méthodes et objets d’évaluation définissent ce qui est nécessaire pour évaluer ces deux composants. Dans ce cas, les trois méthodes – examen, entretien et test – sont nécessaires pour une évaluation complète de l’amélioration.

Lors de l’élaboration du plan d’évaluation des contrôles de sécurité, l’évaluateur des contrôles de sécurité élabore d’abord une méthode pour examiner le système. Le SCA évalue les méthodes dans la section « choisir parmi » de la méthode d’examen. Le SCA peut examiner tout ou partie des documents suivants : la politique de contrôle d’accès, les procédures d’application des accès, la documentation relative à la conception du système d’information, les paramètres de configuration du système d’information et la documentation associée, les enregistrements d’audit du système d’information et d’autres documents ou enregistrements pertinents. L’évaluateur évalue la méthode de test définie pour cette amélioration, puis élabore un plan de test pour évaluer les mécanismes automatisés, mettant en œuvre les fonctions de contrôle d’accès. Ensuite, l’évaluateur examine le BOE soumis par le système afin de déterminer les technologies qui seront utilisées pour mettre en œuvre le cryptage ou le stockage hors ligne pour les types d’informations requis, y compris les sorties de procédures de test ou les résultats d’évaluation attendus. Enfin, l’évaluateur note que cette amélioration est assortie d’une exigence d’entretien de sorte que, pendant l’évaluation, la partie entretien est réalisée. Bien que cela ne soit pas requis, certains évaluateurs développent un script pour mener l’entretien et d’autres utilisent uniquement les résultats des autres méthodes de l’évaluation (examiner et tester) pour déterminer les questions de l’entretien de manière ad hoc pendant le test.

Dans tous les cas, les résultats de l’entretien devraient soutenir l’identification et l’évaluation d’un système avec une implémentation correcte de cette amélioration, en accord avec les exigences documentées découvertes dans la composante examiner et les résultats du test. Cela permet de s’assurer que le personnel de soutien du système comprend les exigences de cette amélioration telles que définies par l’organisation et les propriétaires du système. Si l’évaluation aboutit à un échec de l’une des méthodes, le contrôle sera répertorié comme un échec ou un succès partiel/échec partiel, selon les règles d’engagement de l’évaluation.

Le résultat de cette tâche est un plan de test entièrement développé, examiné et approuvé qui définit les évaluateurs de contrôle de sécurité, le processus d’évaluation et les limites de l’évaluation, et comprend des règles d’engagement approuvées. L’indépendance de l’équipe d’évaluation est définie et, dans certains cas, il est nécessaire de faire appel à des évaluateurs indépendants, déterminés par l’autorité compétente. Le plan de test, une fois élaboré et examiné, est approuvé par l’AO.

Une section d’un exemple de plan d’évaluation des contrôles de sécurité est incluse dans l’annexe G

.