Phase 4, Aufgabe 1: Plan zur Bewertung der Sicherheitskontrollen

Der Bewerter der Sicherheitskontrollen entwickelt einen detaillierten Bewertungsplan, der als Übersicht für die Durchführung der unabhängigen Bewertung der Sicherheitskontrollen dient. In diesem Plan wird festgelegt, welche Komponenten des Systems bewertet werden, welche automatisierten Werkzeuge oder manuellen Prozesse verwendet werden und wo die Grenzen des Tests liegen. Der Testplan sollte auch vereinbarte Einsatzregeln (Rules of Engagement, ROE) enthalten, die vom Eigentümer des Informationssystems und dem autorisierenden Beamten genehmigt worden sind. Diese ROE sollten den Umfang und die Tiefe der Sicherheitsbewertung, die Kontaktstellen (POC) für Ereignisse oder Zwischenfälle, die während des Testevents auftreten, die zulässigen Tools und Techniken, die für die Durchführung der Bewertung zugelassen sind, und die Zugriffsstufen, die für eine erfolgreiche Bewertung oder ein erfolgreiches Testevent erforderlich sind, festlegen. Der Testplan wird auf der Grundlage des vorhandenen Nachweises (Body of Evidence – BOE) des Informationssystems entwickelt, der dem Bewerter der Sicherheitskontrolle vom Eigentümer des Informationssystems vorgelegt wird. Dazu gehören der Systemsicherheitsplan (SSP), technische, architektonische und richtlinienbezogene Dokumente, Benutzer- und Administratorhandbücher sowie frühere Testpläne und Testergebnisse. Eine vollständige BOE zu diesem Zeitpunkt stellt sicher, dass der Bewerter das Informationssystem, so wie es aufgebaut ist, in der erforderlichen Detailtiefe versteht, die es dem SCA ermöglicht, einen Testplan zu entwickeln, der die Sicherheitslage des Systems und die Implementierung der erforderlichen Sicherheitskontrollen durch das System angemessen testet. Kontrollen, die von einem Bewerter bewertet und verifiziert wurden, der vom Anweisungsbefugten (während früherer Schritte im RMF) als unabhängig eingestuft wurde und für das System oder den Anbieter der gemeinsamen Kontrolle einen ausreichenden Schutz und die Einhaltung der Vorschriften gewährleistet, müssen nicht erneut bewertet werden; die Ergebnisse der ersten unabhängigen Bewertung können als Nachweis für die Einhaltung der Anforderungen an diese Kontrolle verwendet werden. In Fällen, in denen der Bewerter nicht als unabhängig eingestuft wurde, können der Bewertungsplan und die Ergebnisse von dem unabhängigen Kontrollbewerter verwendet werden, um eine Grundlage für die Konformität des Informationssystems zu schaffen und die Bewertung zu beschleunigen, wenn der vorherige Testplan als angemessen erachtet wird. Ist der vorherige Plan nicht angemessen, muss er vom unabhängigen Kontrollbewerter verbessert, neu geschrieben oder von Grund auf neu entwickelt werden.

Der Bewertungsplan gibt die Ziele für die Testveranstaltung der unabhängigen Kontrollbewerter vor. In diesem Plan für die Kontrollbewertung wird festgelegt, wer die Testveranstaltung durchführt und welche Verfahren angewandt werden, um zu überprüfen, ob die Sicherheitskontrollen vorhanden sind und wie vorgesehen funktionieren, um Sicherheit und Compliance zu gewährleisten. Ein vollständig ausgearbeiteter Plan dient zwei Zwecken für die Organisation. Erstens legt er die angemessenen Erwartungen für die Bewertung der Sicherheitskontrollen fest, indem er die Verfahren definiert, die zur Bewertung des Systems oder des Kontrollanbieters verwendet werden, sowie die Grenzen und den Umfang des Tests. Als Nächstes werden die Prüfer auf ein bestimmtes Maß an Aufwand verpflichtet, um sicherzustellen, dass keine Ressourcen für zu komplexe Tests verschwendet werden, und um eine korrekte Bewertung der Anforderungen an die Sicherheitskontrollen zu erreichen. In einigen Fällen ist aufgrund der Kritikalität des Systems oder der darin enthaltenen Informationen eine komplexe Teststrategie erforderlich. In allen Fällen sollte der Grad der Komplexität und der Detailliertheit der Bewertung der Sicherheitskontrollen der Kritikalität des Systems oder des gemeinsamen Kontrollsatzes angemessen sein.

Es gibt drei Haupttypen von Bewertungen, die zum Testen der Sicherheitskontrollen verwendet werden, die im System implementiert werden müssen: die Bewertung der Entwicklungstests und -evaluierung, die unabhängige Verifikation und Validierung (IV&V) und eine dritte Art, die eine der folgenden Aufgaben unterstützt: Bewertungen zur Unterstützung der Autorisierung oder Reautorisierung, die Bewertung der kontinuierlichen Überwachung und Bewertungen zur Behebung von Mängeln oder zur Regression. Ein unabhängiges Bewertungsteam, wie es vom Anweisungsbefugten definiert wird, ist für die Bewertung der Zulassung oder der Wiederzulassung erforderlich. Dieses Maß an Unabhängigkeit ist auch für IV&V-Bewertungen erforderlich, einschließlich Bewertungen, deren Ergebnisse von der IV&V verwendet werden sollen, oder für Bewertungs-/Wiederbewertungstests, wie z. B. Tests, die zu Beginn der Systementwicklung durchgeführt werden. Oft ist es vorteilhafter, ein spezielles Team unabhängiger Prüfer mit der Durchführung all dieser Arten von Bewertungen zu beauftragen, um sicherzustellen, dass die Ergebnisse zur Unterstützung von Genehmigungs- und Wiedergenehmigungsverfahren sowie der IV&V verwendet werden können. Unabhängigkeit bedeutet, dass der Bewerter frei von tatsächlichen oder vermeintlichen Interessenkonflikten in Bezug auf den Entwurf und die Entwicklung der Sicherheitskontrollen des Systems ist. Um diesen Grad an Unabhängigkeit zu erreichen, kann der Anweisungsbefugte eine vom Entwurfs- und Entwicklungsteam getrennte Organisation, einschließlich anderer Organisationen oder eines beauftragten Teams, mit der unabhängigen Bewertung der Sicherheitskontrollen beauftragen. Bei der Beauftragung von Ressourcen ist es wichtig, daß der Systemeigentümer nicht direkt in den Vertragsprozeß eingebunden ist, um die Unabhängigkeit der Kontrollbeurteiler zu gewährleisten.

Im Sicherheitstestplan sollen die Arten von manuellen und automatisierten Werkzeugen festgelegt werden, die bei der Testveranstaltung eingesetzt werden; maximale Wirksamkeit kann durch den Einsatz automatisierter Tests und Testverfahren bei der Durchführung von Bewertungen der Sicherheitskontrollen erreicht werden, wann immer dies möglich ist. Wenn ein automatisiertes Bewertungstool oder eine Testanwendung zur Validierung der Kontrolle verwendet wird, sollte der Testplan die Einstellungen, Profile, Plugins und andere Konfigurationseinstellungen für das verwendete automatisierte Tool angeben. Es gibt viele Fälle, in denen automatisierte Tools eine Sicherheitskontrolle nicht bewerten können oder durch manuelle Prozesse und Verfahren verstärkt werden müssen. In diesen Fällen müssen die manuellen Verfahren vollständig dokumentiert werden, einschließlich der durchgeführten Schritte, der eingegebenen Befehle und der ausgewählten Menüpunkte. Eine ausführliche Dokumentation stellt sicher, daß der Test genau wiederholt werden kann, und im Falle der Gegenseitigkeit ermöglicht sie es Personen, die den Testplan als Teil des Beweisstücks einsehen, zu verstehen, wie jede Kontrolle bewertet wurde.

Zusätzlich zur Dokumentation der Schritte, die zur Durchführung der spezifischen Testaufgabe für jede Sicherheitskontrolle unternommen wurden, ist es wichtig, das erwartete Ergebnis des Testereignisses zu dokumentieren. Dieses wird in der Regel als Teil des getesteten Ereignisses für jede Kontrolle aufgeführt, normalerweise nach den detaillierten Testschritten. Anhand dieser Dokumentation können die SCA und andere interessierte Parteien die erwartete Ausgabe des Systems oder Geräts erkennen, die zum erfolgreichen Bestehen des jeweiligen Testereignisses führt. In einigen Fällen gibt es mehrere Ergebnisse, die akzeptabel sind; für diese Ereignisse kann es sinnvoller sein, die Ergebnisse aufzulisten, die zum Nichtbestehen des Testereignisses führen würden; dann sollte der Testplan darauf hinweisen, dass jedes Ergebnis außer den aufgelisteten darauf hinweist, dass die Kontrolle korrekt implementiert ist.

Der Bewerter für Sicherheitskontrollen sollte nicht nur unabhängig sein, sondern auch über ein hohes Maß an technischem Fachwissen bei der Implementierung und Bewertung von technischen, betrieblichen und Managementkontrollen verfügen. Diese drei Arten von Kontrollen können als allgemeine Kontrollen, als systemspezifische Kontrollen oder als hybride Kontrollen implementiert werden, je nachdem, wie das System entwickelt und konstruiert wurde. Aus diesem Grund muss der Bewerter Erfahrung in der Bewertung eines breiten Spektrums von Kontrollimplementierungen in einer Reihe unterschiedlicher Umgebungen und Technologien haben.

Generell sind Test-Events technisch; einige Test-Events beinhalten jedoch die Überprüfung der Dokumentation, während einige Untersuchungs- und Interview-Aufgaben eine Form der technischen Evaluierung erfordern – am häufigsten die Überprüfung von Systemeinstellungen oder Output. Es gibt zwar keine offizielle Definition, aber eine allgemeine Regel besagt, dass Prüfungsereignisse sich auf die Überprüfung der Dokumentation oder des System-Outputs konzentrieren, Interview-Ereignisse auf Gespräche mit verschiedenen Personen, und Test-Ereignisse sind technische Bewertungen. Die SCA wird diese Anforderungen nutzen, um sicherzustellen, dass der von ihr entwickelte Testplan die spezifische Art und Weise berücksichtigt, wie die Kontrolle bewertet werden soll. Das Alpha enthält auch drei Anhänge, die an dieser Stelle hilfreich sein können. Anhang D definiert Beurteilungsmethoden, anwendbare Objekte und Attribute; Anhang G erklärt, wie ein SAR und eine SAR-Vorlage zu entwickeln sind; und Anhang G beschreibt detailliert, wie Beurteilungsfälle für einen Testplan zu erstellen sind, sowie Beispiele für Beurteilungsfälle, die als Vorlagen verwendet werden können.

Die Bestimmung der Testtiefe und des Testumfangs ist wichtig, wenn eine Beurteilung der Sicherheitskontrollen oder ein Testplan entwickelt wird, da die Beurteilung oder der Plan das Niveau des Aufwands für das Testen jeder Kontrolle festlegt. Diese Faktoren bestimmen die Strenge und den Umfang der Tests, die für jede spezifische Kontrolle erforderlich sind, und sind hierarchisch aufgebaut, so dass für einige Informationssysteme höhere Anforderungen an die Bewertung gestellt werden, um die erforderliche Sicherheit zu gewährleisten. Die Bewertungstiefe bestimmt den Detaillierungsgrad, der für ein vollständiges Testen der Sicherheitskontrollen erforderlich ist, und kann einen von drei Attributwerten annehmen: grundlegend, konzentriert oder umfassend. Der Abdeckungsgrad legt den Umfang oder die Breite der Beurteilung fest und umfasst die gleichen Attribute wie „grundlegend“, „fokussiert“ und „umfassend“. Diese Attribute für Tiefe und Umfang werden von der Organisation bei der Festlegung eines organisationsweiten Risikomanagementprogramms zur Unterstützung der RMF zugewiesen. Normalerweise steigen mit den Anforderungen an die Zuverlässigkeit von Informationssystemen auch die Anforderungen an den Umfang und die Strenge der Bewertung der Sicherheitskontrollen. Anhang D der NIST SP 800-53A definiert die Anforderungen an die Tiefe und den Umfang für jede der Bewertungsmethoden Untersuchung, Befragung und Test. Teile dieses Dokuments wurden der Einfachheit halber in Anhang D wiedergegeben; bevor jedoch die Entwicklung des Bewertungsplans abgeschlossen wird, sollte der Prüfer für Sicherheitskontrollen überprüfen, ob diese Informationen auf dem neuesten Stand sind; die neueste genehmigte Version ist auf der NIST-Website zu finden.

Dies ist eine Erweiterung der Hauptsicherheitskontrolle AC-3. Sie verifiziert zwei wichtige Verbesserungen, die in Systemen, in denen diese Kontrolle vorgeschrieben ist, implementiert werden müssen. Wie in Beurteilungsziel (i) angegeben, verifiziert die Erweiterung, dass die Organisation die zu verschlüsselnden oder offline zu speichernden Systeminformationen identifiziert hat, und wie in Teil (ii) angegeben, dass die Organisation diese Informationen tatsächlich verschlüsselt oder offline speichert. Die Bewertungsmethoden und -objekte definieren, was zur Bewertung dieser beiden Komponenten erforderlich ist. In diesem Fall sind alle drei Methoden – Untersuchung, Befragung und Test – für eine vollständige Bewertung der Erweiterung erforderlich.

Bei der Entwicklung des Bewertungsplans für die Sicherheitskontrollen entwickelt der Bewerter der Sicherheitskontrolle zunächst eine Methode zur Untersuchung des Systems. Der SCA evaluiert die Methoden im Abschnitt „Auswahl aus“ der Untersuchungsmethode. Der SCA kann eines oder alle der folgenden Dokumente untersuchen: Zugriffskontrollpolitik, Verfahren zur Durchsetzung des Zugriffs, Dokumentation zum Entwurf des Informationssystems, Konfigurationseinstellungen des Informationssystems und zugehörige Dokumentation, Aufzeichnungen zur Prüfung des Informationssystems und andere relevante Dokumente oder Aufzeichnungen. Der Assessor bewertet die für diese Erweiterung definierte Testmethode und erstellt dann einen Testplan zur Bewertung der automatisierten Mechanismen, die die Funktionen zur Durchsetzung des Zugriffs implementieren. Als Nächstes überprüft der Assessor die eingereichte BOE des Systems, um die Technologien zu bestimmen, die zur Implementierung der Verschlüsselung oder der Offline-Speicherung für die erforderlichen Informationstypen verwendet werden, einschließlich der Ergebnisse des Testverfahrens oder der erwarteten Bewertungsergebnisse. Schließlich stellt der Assessor fest, dass für diese Erweiterung ein Interview erforderlich ist, so dass während des Assessments ein Interviewteil durchgeführt wird. Obwohl dies nicht erforderlich ist, entwickeln einige Assessoren ein Skript, um das Interview durchzuführen, und andere verwenden lediglich die Ergebnisse der anderen Methoden des Assessments (Prüfung und Test), um die Interviewfragen während des Tests ad hoc festzulegen.

In jedem Fall sollten die Ergebnisse des Interviews die Identifizierung und Bewertung eines Systems mit einer korrekten Implementierung dieser Erweiterung unterstützen, in Übereinstimmung mit den dokumentierten Anforderungen, die in der Prüfkomponente und den Testergebnissen aufgedeckt wurden. Dadurch wird sichergestellt, dass die Mitarbeiter, die das System unterstützen, die von der Organisation und den Systemeigentümern definierten Anforderungen für diese Erweiterung verstehen. Führt die Bewertung zu einem Fehlschlag einer der Methoden, wird die Kontrolle als Fehlschlag oder als teilweise bestanden/teilweise nicht bestanden aufgeführt, je nach den Einsatzregeln der Bewertung.

Das Ergebnis dieser Aufgabe ist ein vollständig entwickelter, überprüfter und genehmigter Testplan, der die Bewerter der Sicherheitskontrolle, den Bewertungsprozess und die Grenzen der Bewertung definiert und genehmigte ROE enthält. Die Unabhängigkeit des Bewerterteams wird festgelegt, und in bestimmten Fällen ist der Einsatz unabhängiger Bewerter, die vom Genehmigungsbeamten bestimmt werden, erforderlich. Der Testplan wird nach seiner Ausarbeitung und Überprüfung von der zuständigen Behörde genehmigt.

Ein Ausschnitt aus einem Beispielplan zur Bewertung der Sicherheitskontrollen ist in Anhang G enthalten

.