4. szakasz, 1. feladat: Biztonsági ellenőrzési értékelési terv

A biztonsági ellenőrzési értékelő részletes értékelési tervet dolgoz ki, amely a független biztonsági ellenőrzési értékelés elvégzésének térképeként szolgál. Ez a terv meghatározza, hogy a rendszer mely összetevőit fogják értékelni, milyen automatizált eszközöket vagy manuális folyamatokat fognak használni, és melyek lesznek a vizsgálat határai. A teszttervnek tartalmaznia kell az információs rendszer tulajdonosa és az engedélyező tisztviselő által jóváhagyott, egyeztetett alkalmazási szabályokat (ROE) is. Ezeknek a ROO-knak meg kell határozniuk a biztonsági értékelés terjedelmét és mélységét, a tesztesemény során bekövetkező események vagy incidensek kapcsolattartási pontjait (POC), az értékelés elvégzéséhez jóváhagyott elfogadható eszközöket és technikákat, valamint a sikeres értékelés vagy tesztesemény elvégzéséhez szükséges hozzáférési szinteket. A teszttervet az információs rendszer meglévő bizonyítékok (BOE) alapján dolgozzák ki, amelyeket az információs rendszerek tulajdonosa mutat be a biztonsági ellenőrzés értékelőjének, beleértve a rendszerbiztonsági tervet (SSP), a mérnöki, architektúrális és irányadó dokumentumokat, a felhasználói és rendszergazdai útmutatókat, valamint a korábbi tesztterveket és teszteredményeket. A teljes BOE ezen a ponton biztosítja, hogy az értékelő megértse az információs rendszert, ahogyan azt felépítették, a szükséges részletességgel, ami lehetővé teszi az SCA számára, hogy olyan teszttervet dolgozzon ki, amely megfelelően teszteli a rendszer biztonsági helyzetét és a rendszerben az előírt biztonsági ellenőrzések végrehajtását. Azokat az ellenőrzéseket, amelyeket olyan értékelő értékelt és ellenőrzött, akiről az engedélyezésre jogosult tisztviselő (az RMF korábbi lépései során) úgy ítélte meg, hogy elegendő védelmet és megfelelőséget biztosít a rendszer vagy a közös ellenőrzési szolgáltató számára, nem kell újraértékelni; az eredeti független értékelés eredményei felhasználhatók az adott ellenőrzés követelményeinek való megfelelés bizonyítékaként. Azokban az esetekben, amikor az értékelőt nem tekintették függetlennek, az értékelési tervet és az eredményeket a független ellenőrzés értékelője felhasználhatja az információs rendszer megfelelőségének alapvonalának kialakítására az értékelés felgyorsítása érdekében, ha a korábbi vizsgálati tervet megfelelőnek ítélik. Ha a korábbi terv nem megfelelő, akkor azt a független ellenőrzési értékelőnek ki kell javítania, újra kell írnia, vagy a nulláról kell kidolgoznia.

Az értékelési terv meghatározza a független biztonsági ellenőrzési értékelők tesztelési eseményének célkitűzéseit. Ez az ellenőrzési értékelés tervezete meghatározza, hogy ki fogja végrehajtani a teszteseményt és azokat az eljárásokat, amelyeket annak érvényesítésére fognak használni, hogy a biztonsági ellenőrzések a helyükön vannak és a tervezett módon működnek a biztonság és a megfelelőség biztosítása érdekében. Egy teljesen kidolgozott terv két célt szolgál a szervezet számára. Először is, meghatározza a megfelelő elvárásokat a biztonsági ellenőrzés értékelésével kapcsolatban azáltal, hogy meghatározza a rendszer vagy az ellenőrzés szolgáltatójának értékelésére használt eljárásokat, valamint a teszt határait és terjedelmét. Ezután az értékelőket meghatározott szintű erőfeszítésekhez köti, biztosítva, hogy az erőforrásokat ne pazarolják túlságosan összetett tesztelésre, és a biztonsági ellenőrzési követelmények helyes értékelését eredményezi. Bizonyos esetekben a rendszer kritikussága vagy a benne tárolt információ alapján összetett tesztelési stratégiára van szükség. Minden esetben a biztonsági kontrollok értékelésének összetettségi és részletességi szintjének arányban kell állnia a rendszer vagy a közös kontrollkészlet kritikusságával.

A rendszerben végrehajtandó biztonsági kontrollok teszteléséhez három fő értékelési típus létezik: a fejlesztési teszt és értékelési értékelés, a független ellenőrzés és érvényesítés (IV&V), valamint egy harmadik típus, amely a következők bármelyikét támogatja: az engedélyezést vagy újraengedélyezést támogató értékelések; a folyamatos felügyeleti értékelés; és a javítási vagy regressziós értékelések. Az engedélyező tisztviselő által meghatározott független értékelő csoportra van szükség az engedélyezési vagy újraengedélyezési értékelésekhez. Ez a függetlenségi szint szükséges az IV&V értékelésekhez is, beleértve az olyan értékeléseket, amelyeket úgy terveztek, hogy megállapításaikat az IV&V vagy az értékelési/újraértékelési tesztelés, például a rendszer fejlesztésének korai szakaszában végzett tesztek felhasználják. Gyakran előnyösebb, ha az összes ilyen típusú értékelés elvégzésére független értékelőkből álló külön csoportot jelölnek ki, annak biztosítása érdekében, hogy az eredmények felhasználhatók legyenek az engedélyezési és újraengedélyezési események, valamint az IV&V támogatására. A függetlenség azt jelenti, hogy az értékelő mentes minden tényleges vagy vélt összeférhetetlenségtől a rendszer biztonsági ellenőrzésének megtervezésével és fejlesztésével kapcsolatban. A függetlenség e szintjének elérése érdekében az engedélyezésre jogosult tisztviselő a tervezési és fejlesztési csapattól elkülönült szervezetet – beleértve más szervezeteket vagy szerződéses csapatot – is igénybe vehet a független és a biztonsági ellenőrzés értékeléséhez. Ha szerződéses erőforrásokat vesznek igénybe, fontos, hogy a rendszer tulajdonosa ne vegyen részt közvetlenül a szerződéskötési folyamatban az ellenőrzési értékelők függetlenségének biztosítása érdekében.

A biztonsági teszttervnek meg kell határoznia a tesztesemény során használt manuális és automatizált eszközök típusait; a maximális hatékonyságot az automatizált tesztek és teszteljárások felhasználásával lehet elérni a biztonsági ellenőrzési értékelések elvégzésekor, amikor csak lehetséges. Ha automatizált értékelő eszközt vagy tesztalkalmazást használnak az ellenőrzés érvényesítésére, a teszttervnek meg kell adnia az alkalmazott automatizált eszköz beállításait, profiljait, bővítményeit és egyéb konfigurációs beállításait. Számos olyan eset van, amikor az automatizált eszközök nem képesek értékelni egy biztonsági ellenőrzést, vagy kézi folyamatokkal és eljárásokkal kell megerősíteni. Ezekben az esetekben a kézi eljárásokat teljes körűen dokumentálni kell, beleértve a megtett lépéseket, a beírt parancsokat és a kiválasztott menüpontokat. A részletes dokumentáció biztosítja, hogy a teszt pontosan megismételhető legyen, és kölcsönösség esetén lehetővé teszi a teszttervet a bizonyítékok részeként vizsgáló személyek számára, hogy megértsék, hogyan értékelték az egyes ellenőrzéseket.

Az egyes biztonsági ellenőrzések konkrét tesztfeladatának elvégzéséhez megtett lépések dokumentálása mellett fontos a tesztesemény várható eredményének dokumentálása is. Ez általában minden egyes ellenőrzésnél a tesztelt esemény részeként szerepel, jellemzően a részletes tesztlépések után. Ez a dokumentáció lehetővé teszi az SCA és más érdekelt felek számára, hogy megismerjék a rendszer vagy eszköz várható kimenetét, amely az adott tesztesemény sikeres teljesítését eredményezi. Bizonyos esetekben többféle eredmény is elfogadható; ezeknél az eseményeknél célszerűbb lehet felsorolni azokat az eredményeket, amelyek a tesztesemény sikertelenségét eredményeznék; ezután a teszttervnek jeleznie kell, hogy a felsoroltakon kívüli bármely eredmény azt jelzi, hogy az ellenőrzés helyesen van végrehajtva.

A függetlenség mellett a biztonsági ellenőrzés értékelőjének megfelelő műszaki szakértelemmel kell rendelkeznie a műszaki, üzemeltetési és irányítási ellenőrzések végrehajtásában és értékelésében. Ez a háromféle ellenőrzés megvalósítható közös ellenőrzésként, rendszerspecifikus ellenőrzésként vagy hibrid ellenőrzésként, attól függően, hogy a rendszert hogyan fejlesztették ki és tervezték meg. Ezért az értékelőnek tapasztalattal kell rendelkeznie a különböző környezetekben és technológiákban megvalósított ellenőrzések széles körének értékelésében.

A tesztelési események általában technikai jellegűek; néhány tesztelési esemény azonban a dokumentáció felülvizsgálatát is magában foglalja, míg néhány vizsgálati és interjúfeladat a technikai értékelés valamely formáját igényli – leggyakrabban a rendszerbeállítások felülvizsgálatát vagy kimenetét. Bár nem hivatalos meghatározás, általános szabály, hogy a vizsgálati események a dokumentáció vagy a rendszer kimenetének áttekintésére, az interjú eseményei a különböző személyekkel való beszélgetésre, a tesztesemények pedig technikai értékelésekre összpontosítanak. Az SCA ezeket a követelményeket fogja felhasználni annak biztosítására, hogy az általa kidolgozott tesztterv foglalkozzon az ellenőrzés értékelésének konkrét módjával. Az alfa három függeléket is tartalmaz, amelyek hasznosak lehetnek ezen a ponton. A D függelék meghatározza az értékelési módszereket, az alkalmazandó objektumokat és attribútumokat; a G függelék elmagyarázza, hogyan kell SAR-t és SAR-sablont készíteni; a G függelék pedig részletezi, hogyan kell értékelési eseteket létrehozni egy teszttervhez, valamint példákat ad a sablonként használható értékelési esetekre.

A tesztelés mélységének és lefedettségének meghatározása fontos a biztonsági ellenőrzések értékelésének vagy teszttervének kidolgozásakor, mivel az értékelés vagy a terv meghatározza az egyes ellenőrzések tesztelésére fordított erőfeszítések szintjét. Ezek a tényezők határozzák meg az egyes konkrét kontrollokhoz szükséges tesztelés szigorát és terjedelmét, és hierarchikusan, az egyes információs rendszerekhez szükséges fokozott biztosítékokhoz megnövelt értékelési követelményeket biztosítva. Az értékelés mélysége határozza meg a biztonsági ellenőrzések teljes körű teszteléséhez szükséges részletesség szintjét, és a három attribútumérték egyike lehet: alap, fókuszált vagy átfogó. A lefedettség határozza meg az értékelés hatókörét vagy szélességét, és ugyanazokat az attribútumokat tartalmazza, mint az alap, a fókuszált és az átfogó. Ezeket a mélység és lefedettség attribútumokat a szervezet jelöli ki az RMF-et támogató, az egész szervezetre kiterjedő kockázatkezelési program meghatározásakor. Általában az információs rendszerekre vonatkozó megbízhatósági követelmények növekedésével a biztonsági ellenőrzések értékelésének terjedelmére és szigorára vonatkozó követelmények is növekednek. A NIST SP 800-53A D függeléke meghatározza a vizsgálat, az interjú és a tesztelés egyes értékelési módszereinek mélységére és lefedettségére vonatkozó követelményeket. E dokumentum egyes részeit a D. függelékben az egyszerűség kedvéért reprodukáltuk; az értékelési terv kidolgozásának befejezése előtt azonban a biztonsági ellenőrzések értékelőjének meg kell győződnie arról, hogy ezek az információk naprakészek-e; a legutóbbi jóváhagyott változat megtalálható a NIST honlapján.

Ez a fő biztonsági ellenőrzés AC-3 továbbfejlesztése. Két kulcsfontosságú fejlesztést ellenőriz, amelyeket azokban a rendszerekben kell végrehajtani, ahol ez az ellenőrzés kötelező. Amint azt az értékelési cél (i) jelzi, a fejlesztés ellenőrzi, hogy a szervezet azonosította-e a titkosítandó vagy offline tárolandó rendszerinformációkat, és amint azt a (ii) rész jelzi, hogy a szervezet valóban titkosítja vagy offline tárolja ezeket az információkat. Az értékelési módszerek és objektumok meghatározzák, hogy mi szükséges e két komponens értékeléséhez. Ebben az esetben mindhárom módszer – vizsgálat, interjú és teszt – szükséges a fejlesztés teljes körű értékeléséhez.

A biztonsági ellenőrzések értékelési tervének kidolgozásakor a biztonsági ellenőrzés értékelője először kidolgoz egy módszert a rendszer vizsgálatára. Az SCA a vizsgálati módszer “select from” szakaszában értékeli a módszereket. Az SCA a következő dokumentumok bármelyikét vagy mindegyikét megvizsgálhatja: hozzáférés-ellenőrzési politika, a hozzáférés érvényesítésével foglalkozó eljárások, az információs rendszer tervezési dokumentációja, az információs rendszer konfigurációs beállításai és a kapcsolódó dokumentáció, az információs rendszer ellenőrzési nyilvántartásai, valamint egyéb releváns dokumentumok vagy nyilvántartások. Az értékelő értékeli az ehhez a fejlesztéshez meghatározott vizsgálati módszert, majd vizsgálati tervet készít a hozzáférés-kényszerítési funkciókat megvalósító automatizált mechanizmusok értékelésére. Ezután az értékelő felülvizsgálja a rendszer benyújtott BOE-jét, hogy meghatározza azokat a technológiákat, amelyeket a szükséges információtípusok titkosításának vagy off-line tárolásának megvalósításához használnak, beleértve a teszteljárás kimenetét vagy a várható értékelési eredményeket. Végül az értékelő megjegyzi, hogy ez a fejlesztés interjúkövetelményt tartalmaz, így az értékelés során az interjús részre is sor kerül. Bár ez nem kötelező, egyes értékelők szkriptet dolgoznak ki az interjú lefolytatásához, mások pedig csak az értékelés más módszereinek (examine és teszt) eredményeit használják fel az interjúkérdések ad hoc módon történő meghatározásához a tesztelés során.

Az interjú eredményeinek mindkét esetben támogatniuk kell az olyan rendszer azonosítását és értékelését, amely helyesen valósítja meg ezt a fejlesztést, összhangban a examine komponensben feltárt dokumentált követelményekkel és a teszteredményekkel. Ez biztosítja, hogy a rendszert támogató személyzet megértse a szervezet és a rendszer tulajdonosai által meghatározott, erre a fejlesztésre vonatkozó követelményeket. Ha az értékelés bármelyik módszerrel kapcsolatban sikertelenséget eredményez, az ellenőrzés sikertelenségként vagy részlegesen megfelelt/részlegesen sikertelenül szerepel az értékelés szabályaitól függően.

A feladat kimenete egy teljesen kidolgozott, felülvizsgált és jóváhagyott tesztterv, amely meghatározza a biztonsági ellenőrzés értékelőit, az értékelési folyamatot és az értékelés határait, valamint tartalmazza a jóváhagyott ROE-t is. Az értékelő csoport függetlenségét meghatározzák, és bizonyos esetekben az engedélyező tisztviselő által meghatározott független értékelőket kell alkalmazni. A kidolgozott és felülvizsgált teszttervet az engedélyezésre jogosult hatóság hagyja jóvá.

A G. függelékben található a biztonsági ellenőrzési értékelési terv egy példája

.