Interviewmethode
Fase 4, Taak 1: Beoordelingsplan voor beveiligingscontroles
De beoordelaar van de beveiligingscontroles ontwikkelt een gedetailleerd beoordelingsplan dat wordt gebruikt als een kaart voor het uitvoeren van de onafhankelijke beoordeling van de beveiligingscontroles. In dit plan wordt gespecificeerd welke onderdelen van het systeem zullen worden beoordeeld, welke geautomatiseerde hulpmiddelen of handmatige processen zullen worden gebruikt, en wat de grenzen van de test zullen zijn. Het testplan moet ook overeengekomen “rules of engagement” (ROE) bevatten die zijn goedgekeurd door de eigenaar van het informatiesysteem en de ordonnateur. In deze ROE moeten de reikwijdte en diepgang van de beveiligingsbeoordeling, de contactpunten (POC) voor voorvallen of incidenten die zich tijdens het testevenement voordoen, de aanvaardbare instrumenten en technieken die zijn goedgekeurd voor het uitvoeren van de beoordeling, en de toegangsniveaus die vereist zijn voor het voltooien van een succesvolle beoordeling of testevenement, worden omschreven. Het testplan wordt ontwikkeld op basis van de bestaande “Body of Evidence” (BOE) van het informatiesysteem, die door de eigenaar van het informatiesysteem aan de beoordelaar van de veiligheidscontrole wordt voorgelegd, met inbegrip van het systeembeveiligingsplan (SVP), technische, architectuur- en beleidsdocumenten, handleidingen voor gebruikers en beheerders, en eerdere testplannen en testresultaten. Een compleet BOE op dit punt zorgt ervoor dat de beoordelaar het informatiesysteem begrijpt zoals het is gebouwd, met de vereiste mate van detail, zodat de BVE een testplan kan ontwikkelen dat de beveiligingsstatus van het systeem en de implementatie van de vereiste beveiligingscontroles door het systeem adequaat test. Controles die zijn beoordeeld en geverifieerd door een beoordelaar die door de ordonnateur onafhankelijk is bevonden (tijdens eerdere stappen in het RMF) en waarvan is gebleken dat zij het systeem of de gemeenschappelijke controleverstrekker voldoende bescherming en conformiteit bieden, hoeven niet opnieuw te worden beoordeeld; de initiële onafhankelijke beoordelingsresultaten kunnen worden gebruikt als bewijs dat aan de eis voor die controle is voldaan. In gevallen waarin de beoordelaar niet onafhankelijk werd geacht, kunnen het beoordelingsplan en de resultaten door de onafhankelijke beoordelaar van de controle worden gebruikt om een baseline te vormen van de conformiteit van het informatiesysteem, teneinde de beoordeling te versnellen, indien het vorige testplan toereikend wordt geacht. Als het vorige plan niet voldoet, moet het worden verbeterd, herschreven of door de onafhankelijke beoordelaar helemaal opnieuw worden ontwikkeld.
Het beoordelingsplan bevat de doelstellingen voor het testgebeuren van de onafhankelijke beoordelaar van de beveiligingscontrole. In deze blauwdruk voor de controlebeoordeling wordt aangegeven wie het testevenement zal uitvoeren en welke procedures zullen worden gebruikt om te valideren dat de beveiligingscontroles aanwezig zijn en werken zoals ontworpen om beveiliging en naleving te bieden. Een volledig uitgewerkt plan dient twee doelen voor de organisatie. Ten eerste stelt het de juiste verwachtingen voor de beoordeling van de beveiligingscontrole vast door de procedures te definiëren die zullen worden gebruikt om het systeem of de leverancier van de controle te beoordelen, evenals de grenzen en de reikwijdte van de test. Vervolgens bindt het de beoordelaars aan een bepaald inspanningsniveau, zodat de middelen niet worden verspild aan al te complexe tests, en resulteert in de juiste beoordeling van de vereisten voor veiligheidscontroles. In sommige gevallen is een complexe teststrategie nodig op grond van het kritieke karakter van het systeem of van de informatie die het bevat. In alle gevallen moet de mate van complexiteit en gedetailleerdheid van de beoordeling van de beveiligingscontroles in verhouding staan tot het kritieke karakter van het systeem of de gemeenschappelijke reeks controles.
Er zijn drie belangrijke soorten beoordelingen die worden gebruikt om de beveiligingscontroles te testen die in het systeem moeten worden uitgevoerd: de beoordeling van de ontwikkelingstest en -evaluatie, de onafhankelijke verificatie en validatie (IV&V), en een derde type, dat een van de volgende types ondersteunt: beoordelingen ter ondersteuning van autorisatie of herautorisatie; de beoordeling van het continue toezicht; en herstel- of regressiebeoordelingen. Een onafhankelijk beoordelingsteam, zoals gedefinieerd door de autoriserende ambtenaar, is vereist voor autorisatie- of herautorisatiebeoordelingen. Dit niveau van onafhankelijkheid is ook nodig voor IV&V-beoordelingen, met inbegrip van beoordelingen die bedoeld zijn om hun bevindingen te laten gebruiken door IV&V of beoordelings-/herbeoordelingstests, zoals tests die in een vroeg stadium van de ontwikkeling van het systeem worden uitgevoerd. Vaak is het voordeliger om een speciaal team van onafhankelijke beoordelaars aan te stellen om al deze soorten beoordelingen uit te voeren, om ervoor te zorgen dat de resultaten kunnen worden gebruikt ter ondersteuning van autorisatie- en herautorisatiegebeurtenissen, evenals IV&V. Onafhankelijkheid houdt in dat de beoordelaar vrij is van feitelijke of vermeende belangenconflicten met betrekking tot het ontwerp en de ontwikkeling van de beveiligingscontroles van het systeem. Om dit niveau van onafhankelijkheid te bereiken, kan de ordonnateur een beroep doen op een organisatie die losstaat van het ontwerp- en ontwikkelingsteam, met inbegrip van andere organisaties of een ingehuurd team, voor onafhankelijke beoordelingen en veiligheidscontroles. Indien gebruik wordt gemaakt van ingehuurde middelen, is het van belang dat de systeemeigenaar niet direct betrokken is bij het aanbestedingsproces om de onafhankelijkheid van de controlebeoordelaars te waarborgen.
Het beveiligingstestplan moet bepalen welke soorten handmatige en geautomatiseerde hulpmiddelen bij het testgebeuren zullen worden gebruikt; maximale effectiviteit kan worden verkregen door waar mogelijk gebruik te maken van geautomatiseerde tests en testprocedures bij het uitvoeren van beoordelingen van de beveiligingscontrole. Bij gebruik van een geautomatiseerd beoordelingsinstrument of testtoepassing om de controle te valideren, moeten in het testplan de instellingen, profielen, plugins en andere configuratie-instellingen voor het gebruikte geautomatiseerde instrument worden aangegeven. Er zijn veel gevallen waarin geautomatiseerde instrumenten een beveiligingscontrole niet kunnen beoordelen of moeten worden versterkt door handmatige processen en procedures. In deze gevallen moeten de handmatige procedures volledig worden gedocumenteerd, met inbegrip van de genomen stappen, de ingevoerde commando’s en de geselecteerde menu-items. Gedetailleerde documentatie zorgt ervoor dat de test nauwkeurig kan worden herhaald, en in het geval van wederkerigheid kunnen personen die het testplan inspecteren als onderdeel van het bewijsmateriaal, begrijpen hoe elke controle werd beoordeeld.
Naast het documenteren van de stappen die worden ondernomen om de specifieke testtaak voor elke beveiligingscontrole te voltooien, is het belangrijk om het verwachte resultaat van de testgebeurtenis te documenteren. Dit wordt gewoonlijk vermeld als een deel van de geteste gebeurtenis voor elke controle, gewoonlijk na de gedetailleerde teststappen. Aan de hand van deze documentatie kunnen de bevoegde controle-instantie en andere belanghebbende partijen te weten komen welke output van het systeem of de voorziening wordt verwacht, zodat die specifieke testgebeurtenis met succes wordt doorstaan. In sommige gevallen zijn er meerdere resultaten aanvaardbaar; voor deze gebeurtenissen kan het verstandiger zijn een lijst op te stellen van de resultaten die zouden resulteren in het niet slagen voor de testgebeurtenis; vervolgens moet in het testplan worden aangegeven dat elk resultaat, behalve die welke zijn opgesomd, erop wijst dat de controle correct is uitgevoerd.
De beoordelaar van de beveiligingscontrole moet niet alleen onafhankelijk zijn, maar ook een grote technische deskundigheid bezitten in de uitvoering en beoordeling van technische, operationele en beheerscontroles. Deze drie soorten controles kunnen worden uitgevoerd als algemene controles, als systeemspecifieke controles of als hybride controles, afhankelijk van de wijze waarop het systeem is ontwikkeld en ontworpen. Daarom moet de beoordelaar ervaring hebben met het beoordelen van een breed scala aan controle-implementaties in een aantal verschillende omgevingen en technologieën.
Bij het ontwikkelen van het testplan voor de beveiligingscontrole moet de SCA vaak verwijzen naar NIST SP 800-53A, aangezien dit document bepaalt hoe de controle moet worden beoordeeld. SP 800-53A wordt vaak aangeduid met de Griekse term voor het teken A, de “alpha”. De alpha definieert drie verschillende manieren om een beveiligingscontrole te evalueren: onderzoeken, interviewen en testen. NIST definieert deze drie gebeurtenissen in SP 800-53A als volgt:
De examine-methode is het proces waarbij een of meer beoordelingsobjecten (d.w.z. specificaties, mechanismen of activiteiten) worden bekeken, geïnspecteerd, geobserveerd, bestudeerd of geanalyseerd. Het doel van de onderzoeksmethode is de beoordelaar meer inzicht te verschaffen, opheldering te verschaffen, of bewijsmateriaal te verkrijgen. De interviewmethode is het proces van gesprekken met individuen of groepen van individuen binnen een organisatie om, opnieuw, het begrip van de beoordelaar te vergemakkelijken, verduidelijking te verkrijgen, of bewijs te verkrijgen. De testmethode is het proces van het uitoefenen van een of meer beoordelingsobjecten (d.w.z. activiteiten of mechanismen) onder gespecificeerde omstandigheden om het feitelijke met het verwachte gedrag te vergelijken.
In het algemeen zijn testgebeurtenissen van technische aard; sommige testgebeurtenissen omvatten echter het beoordelen van documentatie, terwijl sommige onderzoeks- en interviewtaken een vorm van technische evaluatie vereisen – meestal de beoordeling van systeeminstellingen of output. Hoewel het geen officiële definitie is, geldt als algemene regel dat examenevenementen gericht zijn op het beoordelen van documentatie of systeemoutput, interviewevenementen gericht zijn op gesprekken met verschillende personen, en testevenementen technische evaluaties zijn. De bevoegde controleambtenaar zal deze vereisten gebruiken om ervoor te zorgen dat het testplan dat zij ontwikkelen betrekking heeft op de specifieke manier waarop de controle moet worden beoordeeld. De alfa bevat ook drie aanhangsels die op dit punt nuttig kunnen zijn. Bijlage D definieert beoordelingsmethoden, toepasselijke objecten en attributen; bijlage G legt uit hoe een SAR en een SAR-sjabloon moeten worden ontwikkeld; en bijlage G beschrijft hoe beoordelingsgevallen voor een testplan moeten worden gemaakt, evenals voorbeelden van beoordelingsgevallen die als sjabloon kunnen worden gebruikt.
Het bepalen van de diepgang en de dekking van het testen is belangrijk bij het ontwikkelen van een beoordeling van beveiligingscontroles of een testplan, aangezien de beoordeling of het plan het inspanningsniveau bepaalt dat wordt gebruikt voor het testen van elke controle. Deze factoren bepalen de striktheid en de reikwijdte van de tests die voor elke specifieke controle vereist zijn, en zijn hiërarchisch, waarbij hogere eisen aan de beoordeling worden gesteld voor de hogere zekerheden die voor sommige informatiesystemen nodig zijn. De diepgang van de beoordeling bepaalt de mate van detail die nodig is voor het volledig testen van de beveiligingscontroles en kan een van de drie volgende waarden hebben: elementair, gericht of alomvattend. De dekking bepaalt de reikwijdte of breedte van de beoordeling en omvat dezelfde kenmerken: elementair, gericht en alomvattend. Deze diepte en dekking attributen worden toegewezen door de organisatie bij het definiëren van een organisatiebreed risico management programma dat de RMF zal ondersteunen. Naarmate de zekerheidseisen voor informatiesystemen toenemen, nemen normaal gesproken ook de eisen aan de reikwijdte en strengheid van de beoordeling van de beveiligingsmaatregelen toe. In bijlage D van NIST SP 800-53A worden de vereisten voor de diepgang en het bereik voor elk van de beoordelingsmethoden (onderzoeken, interviewen en testen) gedefinieerd. Delen van dit document zijn gemakshalve in Appendix D opgenomen; voordat de beoordelaar het beoordelingsplan opstelt, moet hij echter nagaan of deze informatie actueel is; de laatste goedgekeurde versie staat op de NIST-website.
Met deze informatie kan de SCA het testplan opstellen. Met behulp van SP 800-53A kan de SCA voor elke controle bepalen welke beoordelingsmethoden voor elke testgebeurtenis zullen worden gebruikt. Als voorbeeld wordt de beoordelingsdoelstelling voor AC-3(6), Access Enforcement, die is opgenomen in SP 800-53A, hier geciteerd:
ASSESSMENT OBJECTIVE: Determine if:
(i)
de organisatie bepaalt welke gebruikers- en/of systeeminformatie moet worden versleuteld of off line op een veilige plaats moet worden opgeslagen; en
(ii)
de organisatie versleutelt, of off line op een veilige plaats opslaat, door de organisatie bepaalde gebruikers- en/of systeeminformatie.
Mogelijke beoordelingsmethoden en -objecten:
Onderzoek: .
Ondervraging: .
Test: .
Dit is een verbetering van de hoofdbeveiligingscontrole AC-3. Het verifieert twee belangrijke verbeteringen die moeten worden geïmplementeerd in systemen waar deze controle verplicht is. Zoals aangegeven in beoordelingsdoelstelling (i), wordt met deze verbetering geverifieerd dat de organisatie heeft vastgesteld welke systeeminformatie moet worden versleuteld of off-line moet worden opgeslagen, en zoals aangegeven in onderdeel (ii), dat de organisatie deze informatie inderdaad versleutelt of off-line opslaat. De beoordelingsmethoden en -objecten bepalen wat nodig is om deze twee onderdelen te beoordelen. In dit geval zijn alle drie de methoden – onderzoeken, interviewen en testen – vereist voor een volledige beoordeling van de verbetering.
Bij het opstellen van het beoordelingsplan voor de beveiligingsmaatregelen ontwikkelt de beoordelaar van de beveiligingsmaatregelen eerst een methode om het systeem te onderzoeken. De SCA beoordeelt de methoden in het onderdeel “kiezen uit” van de onderzoeksmethode. De bevoegde controleambtenaar kan een of alle van de volgende documenten onderzoeken: beleid inzake toegangscontrole, procedures voor het afdwingen van toegang, documentatie over het ontwerp van het informatiesysteem, configuratie-instellingen van het informatiesysteem en bijbehorende documentatie, auditverslagen over het informatiesysteem, en andere relevante documenten of verslagen. De beoordelaar evalueert de testmethode die voor deze verbetering is gedefinieerd en stelt vervolgens een testplan op om de geautomatiseerde mechanismen te beoordelen waarmee de functies voor het afdwingen van de toegang worden geïmplementeerd. Vervolgens beoordeelt de beoordelaar het voorgelegde BOE van het systeem om te bepalen welke technologieën zullen worden gebruikt om encryptie of offline-opslag toe te passen voor de vereiste informatietypes, met inbegrip van de output van de testprocedure of de verwachte beoordelingsresultaten. Ten slotte merkt de beoordelaar op dat voor deze verbetering een interview vereist is, zodat tijdens de beoordeling het interviewgedeelte wordt uitgevoerd. Hoewel dit niet vereist is, ontwikkelen sommige beoordelaars een script om het interview af te nemen, en anderen gebruiken alleen de resultaten van de andere beoordelingsmethoden (onderzoeken en testen) om de interviewvragen ad hoc tijdens de test te bepalen.
In beide gevallen moeten de resultaten van het interview de identificatie en beoordeling ondersteunen van een systeem met een correcte implementatie van dit onderhoud, in overeenstemming met de gedocumenteerde eisen die in het onderdeel onderzoeken en de testresultaten aan het licht zijn gekomen. Op die manier wordt gewaarborgd dat het ondersteunend personeel van het systeem de door de organisatie en de systeemeigenaren vastgestelde eisen voor deze verbetering begrijpt. Als de beoordeling resulteert in een mislukking van een van de methoden, zal de controle worden vermeld als een mislukking of gedeeltelijk-pass/gedeeltelijk-fail, afhankelijk van de beoordelingsregels.
Het resultaat van deze taak is een volledig ontwikkeld, herzien en goedgekeurd testplan dat de beoordelaars van de beveiligingscontrole, het beoordelingsproces, en de grenzen van de beoordeling definieert, en goedgekeurde ROE omvat. De onafhankelijkheid van het beoordelingsteam wordt gedefinieerd, en in bepaalde gevallen moet een beroep worden gedaan op onafhankelijke beoordelaars, zoals bepaald door de ordonnateur. Het testplan wordt, zodra het is ontwikkeld en herzien, goedgekeurd door de AO.
Een deel van een voorbeeld van een plan voor de beoordeling van de veiligheidscontrole is opgenomen in aanhangsel G