Fase 4, compito 1: Piano di valutazione dei controlli di sicurezza

Il valutatore dei controlli di sicurezza sviluppa un piano dettagliato di valutazione da usare come mappa per condurre la valutazione indipendente dei controlli di sicurezza. Questo piano specifica quali componenti del sistema saranno valutati, quali strumenti automatizzati o processi manuali saranno usati, e quali saranno i confini del test. Il piano di test dovrebbe anche includere regole di ingaggio concordate (ROE) che sono state approvate dal proprietario del sistema informativo e dal funzionario autorizzante. Queste ROE dovrebbero definire la portata e la profondità della valutazione della sicurezza, i punti di contatto (POC) per eventi o incidenti che si verificano durante l’evento di test, gli strumenti accettabili e le tecniche approvate per condurre la valutazione, e i livelli di accesso richiesti per completare una valutazione o un evento di test di successo. Il piano di test viene sviluppato a partire dal corpo di prova esistente del sistema informativo (BOE) che viene presentato dal proprietario dei sistemi informativi al valutatore dei controlli di sicurezza, compreso il piano di sicurezza dei sistemi (SSP), i documenti tecnici, architettonici e di politica, le guide per gli utenti e gli amministratori, i piani di test precedenti e i risultati dei test. Un BOE completo a questo punto assicura che il valutatore comprenda il sistema informativo così come è stato costruito, nel livello di dettaglio richiesto che permetterà allo SCA di sviluppare un piano di test che testa adeguatamente la postura di sicurezza del sistema e l’implementazione dei controlli di sicurezza richiesti. I controlli che sono stati valutati e verificati da un valutatore che è stato ritenuto indipendente dal funzionario autorizzante (durante le fasi precedenti del RMF) per fornire protezioni e conformità sufficienti per il sistema o il fornitore comune di controlli non dovranno essere rivalutati; i risultati della valutazione indipendente iniziale possono essere utilizzati come prova di conformità con il requisito di quel controllo. Nei casi in cui il valutatore non è stato ritenuto indipendente, il piano di valutazione e i risultati possono essere utilizzati dal valutatore di controllo indipendente per formare una linea di base della conformità del sistema informativo per accelerare la valutazione, se il precedente piano di prova è ritenuto adeguato. Se il piano precedente non è adeguato, dovrà essere migliorato, riscritto o sviluppato da zero dal valutatore di controllo indipendente.

Il piano di valutazione fornisce gli obiettivi per l’evento di prova dei valutatori di controllo di sicurezza indipendenti. Questo piano per la valutazione dei controlli identifica chi condurrà l’evento di test e le procedure che saranno utilizzate per convalidare che i controlli di sicurezza sono in atto e funzionano come progettato per fornire sicurezza e conformità. Un piano completamente sviluppato serve a due scopi per l’organizzazione. In primo luogo, stabilisce le aspettative appropriate per la valutazione dei controlli di sicurezza definendo le procedure che saranno usate per valutare il sistema o il fornitore dei controlli, così come i confini e la portata del test. Poi, vincola i valutatori a un livello definito di sforzo, assicurando che le risorse non vengano sprecate in test troppo complessi e che i risultati siano la corretta valutazione dei requisiti dei controlli di sicurezza. In alcuni casi, una strategia di test complessa è necessaria in base alla criticità del sistema o alle informazioni che contiene. In tutti i casi, il livello di complessità e di dettaglio nella valutazione dei controlli di sicurezza dovrebbe essere commisurato alla criticità del sistema o dell’insieme di controlli comuni.

Ci sono tre tipi principali di valutazioni usate per testare i controlli di sicurezza richiesti per essere implementati nel sistema: la valutazione di test e valutazione dello sviluppo, la verifica e validazione indipendente (IV&V), e un terzo tipo, uno che supporta uno dei seguenti: valutazioni che supportano l’autorizzazione o la riautorizzazione; la valutazione del monitoraggio continuo; e valutazioni di rimedio, o regressione. Un team di valutazione indipendente, come definito dal funzionario che autorizza, è richiesto per le valutazioni di autorizzazione o di riautorizzazione. Questo livello di indipendenza è necessario anche per le valutazioni IV&V, incluse le valutazioni progettate per far sì che i loro risultati siano usati dall’IV&V o dai test di valutazione/rivalutazione, come i test condotti all’inizio dello sviluppo del sistema. Spesso, è più vantaggioso avere un team dedicato di valutatori indipendenti assegnati a condurre tutti questi tipi di valutazioni per garantire che i risultati possano essere utilizzati per supportare eventi di autorizzazione e riautorizzazione, nonché IV&V. L’indipendenza implica che il valutatore sia libero da qualsiasi conflitto d’interesse reale o percepito rispetto alla progettazione e allo sviluppo dei controlli di sicurezza del sistema. Per raggiungere questo livello d’indipendenza, il funzionario che rilascia l’autorizzazione può rivolgersi a un’organizzazione separata dal team di progettazione e sviluppo, comprese altre organizzazioni o un team a contratto, per valutazioni indipendenti e controlli di sicurezza. Se si utilizzano risorse a contratto, è importante che il proprietario del sistema non sia direttamente coinvolto nel processo di contrattazione per assicurare l’indipendenza dei valutatori dei controlli.

Il piano di test di sicurezza dovrebbe definire i tipi di strumenti manuali e automatici che saranno utilizzati nell’evento di test; la massima efficacia può essere ottenuta utilizzando test automatici e procedure di test quando si conducono valutazioni dei controlli di sicurezza, quando possibile. Quando si utilizza uno strumento di valutazione automatizzato o un’applicazione di test per convalidare il controllo, il piano di test dovrebbe indicare le impostazioni, i profili, i plugin e altre impostazioni di configurazione per lo strumento automatizzato utilizzato. Ci sono molti casi in cui gli strumenti automatici non possono valutare un controllo di sicurezza o dovranno essere rafforzati da processi e procedure manuali. In questi casi, le procedure manuali devono essere completamente documentate, compresi i passi compiuti, i comandi inseriti e le voci di menu selezionate. Una documentazione dettagliata assicura che il test possa essere ripetuto accuratamente e, nel caso di reciprocità, permette alle persone che ispezionano il piano di test come parte del corpo delle prove di capire come ogni controllo è stato valutato.

Oltre a documentare i passi fatti per completare il compito specifico del test per ogni controllo di sicurezza, è importante documentare il risultato atteso dell’evento del test. Questo è solitamente elencato come una parte dell’evento testato per ogni controllo, tipicamente dopo i passi dettagliati del test. Questa documentazione permette allo SCA e alle altre parti interessate di conoscere l’output previsto dal sistema o dal dispositivo, che risulterà nel superamento di quello specifico evento di test. In alcuni casi, ci sono più risultati che sono accettabili; per questi eventi, può essere più prudente elencare i risultati che porterebbero al fallimento dell’evento di prova; poi il piano di prova dovrebbe indicare che qualsiasi risultato eccetto quelli elencati indica che il controllo è implementato correttamente.

Oltre ad essere indipendente, il valutatore dei controlli di sicurezza dovrebbe avere una buona dose di esperienza tecnica nell’implementazione e valutazione dei controlli tecnici, operativi e di gestione. Questi tre tipi di controlli possono essere implementati come controlli comuni, essere controlli specifici del sistema o implementati come controlli ibridi, in base al modo in cui il sistema è stato sviluppato e progettato. Per questo motivo il valutatore deve avere esperienza nella valutazione di una vasta gamma di implementazioni di controllo in una serie di ambienti e tecnologie diverse.

Generalmente, gli eventi di test sono tecnici; tuttavia, alcuni eventi di test coinvolgono la revisione della documentazione, mentre alcuni compiti di esame e di intervista richiedono una forma di valutazione tecnica – più comunemente la revisione delle impostazioni di sistema o l’output. Anche se non è una definizione ufficiale, una regola generale è che gli eventi di esame si concentrano sulla revisione della documentazione o dell’output del sistema, gli eventi di intervista si concentrano sul parlare con diversi individui, e gli eventi di test sono valutazioni tecniche. Il CSA userà questi requisiti per assicurarsi che il piano di prova che sta sviluppando affronti il modo specifico in cui il controllo dovrebbe essere valutato. L’alfa contiene anche tre appendici che possono essere utili a questo punto. L’appendice D definisce i metodi di valutazione, gli oggetti applicabili e gli attributi; l’appendice G spiega come sviluppare un SAR e un modello di SAR; e l’appendice G dettaglia come creare casi di valutazione per un piano di prova, così come esempi di casi di valutazione che possono essere usati come modelli.

Determinare la profondità e la copertura delle prove è importante quando si sviluppa una valutazione dei controlli di sicurezza o un piano di prova, poiché la valutazione o il piano stabilisce il livello di sforzo usato per provare ogni controllo. Questi fattori definiscono il rigore e la portata delle prove richieste per ogni controllo specifico ed è gerarchico, fornendo maggiori requisiti di valutazione per le maggiori garanzie necessarie per alcuni sistemi informativi. La profondità della valutazione determina il livello di dettaglio richiesto per il test completo dei controlli di sicurezza e può essere uno dei tre valori degli attributi: base, focalizzato o completo. La copertura definisce la portata o l’ampiezza della valutazione e include gli stessi attributi di base, focalizzata e completa. Questi attributi di profondità e copertura sono assegnati dall’organizzazione quando si definisce un programma di gestione del rischio a livello aziendale che supporterà il RMF. Normalmente, man mano che i requisiti di garanzia per i sistemi informativi aumentano, aumentano anche i requisiti per la portata e il rigore della valutazione dei controlli di sicurezza. L’appendice D del NIST SP 800-53A definisce i requisiti di profondità e copertura per ciascuno dei metodi di valutazione di esame, colloquio e test. Porzioni di questo documento sono state riprodotte nell’appendice D per comodità; tuttavia, prima di completare lo sviluppo del piano di valutazione, il valutatore dei controlli di sicurezza dovrebbe verificare che queste informazioni siano aggiornate; l’ultima versione approvata è sul sito web del NIST.

Questo è un miglioramento del controllo di sicurezza principale AC-3. Verifica due miglioramenti chiave che devono essere implementati nei sistemi in cui questo controllo è obbligatorio. Come indicato dall’obiettivo di valutazione (i), il miglioramento verifica che l’organizzazione abbia identificato le informazioni del sistema da criptare o memorizzare off-line, e come indicato dalla parte (ii), che l’organizzazione effettivamente cripti o memorizzi queste informazioni off-line. I metodi e gli oggetti di valutazione definiscono ciò che è richiesto per valutare questi due componenti. In questo caso, tutti e tre i metodi – esaminare, intervistare e testare – sono richiesti per una valutazione completa del miglioramento.

Quando sviluppa il piano di valutazione dei controlli di sicurezza, il valutatore dei controlli di sicurezza sviluppa prima un metodo per esaminare il sistema. Lo SCA valuta i metodi nella sezione “select from” del metodo di esame. Il CSA può esaminare uno o tutti i seguenti documenti: la politica di controllo dell’accesso, le procedure che riguardano l’applicazione dell’accesso, la documentazione di progettazione del sistema informativo, le impostazioni di configurazione del sistema informativo e la documentazione associata, le registrazioni di audit del sistema informativo e altri documenti o registrazioni pertinenti. Il valutatore valuta il metodo di prova definito per questo miglioramento, poi costruisce un piano di prova per valutare i meccanismi automatizzati, implementando le funzioni di applicazione dell’accesso. Successivamente, il valutatore esamina il BOE presentato dal sistema per determinare le tecnologie che saranno utilizzate per implementare la crittografia o l’archiviazione off-line per i tipi di informazioni richieste, compresi i risultati della procedura di test o i risultati di valutazione previsti. Infine, il valutatore nota che questo miglioramento ha un requisito di intervista in modo che, durante la valutazione, venga condotta la parte di intervista. Sebbene non sia richiesto, alcuni valutatori sviluppano uno script per condurre l’intervista e altri usano solo i risultati degli altri metodi di valutazione (esame e test) per determinare le domande dell’intervista in un modo ad hoc durante il test.

In entrambi i casi, i risultati dell’intervista dovrebbero supportare l’identificazione e la valutazione di un sistema con una corretta implementazione di questo miglioramento, in linea con i requisiti documentati scoperti nella componente di esame e i risultati del test. Questo assicura che il personale di supporto del sistema comprenda i requisiti per questo miglioramento come definito dall’organizzazione e dai proprietari del sistema. Se la valutazione risulta in un fallimento di uno qualsiasi dei metodi, il controllo sarà elencato come un fallimento o un parziale-passo/parziale-fallimento, a seconda delle regole di ingaggio della valutazione.

L’output di questo compito è un piano di test completamente sviluppato, rivisto e approvato che definisce i valutatori dei controlli di sicurezza, il processo di valutazione e i confini della valutazione, e include le ROE approvate. L’indipendenza del team di valutazione è definita, e in alcuni casi, è richiesto l’uso di valutatori indipendenti, come determinato dal funzionario autorizzante. Il piano di test, una volta sviluppato e rivisto, è approvato dall’AO.

Una sezione di un esempio di piano di valutazione dei controlli di sicurezza è inclusa nell’appendice G

.