Faza 4, Zadanie 1: Plan oceny kontroli bezpieczeństwa

Osoba oceniająca kontrolę bezpieczeństwa opracowuje szczegółowy plan oceny, który ma być wykorzystany jako mapa do przeprowadzenia niezależnej oceny kontroli bezpieczeństwa. Plan ten określa, które elementy systemu zostaną poddane ocenie, jakie zautomatyzowane narzędzia lub procesy ręczne zostaną wykorzystane oraz jakie będą granice testu. Plan testów powinien również zawierać uzgodnione zasady zaangażowania (ROE), które zostały zatwierdzone przez właściciela systemu informacyjnego i urzędnika upoważniającego. Te ROE powinny określać zakres i stopień szczegółowości oceny bezpieczeństwa, punkty kontaktowe (POC) dla zdarzeń lub incydentów, które wystąpią podczas zdarzenia testowego, dopuszczalne narzędzia i techniki zatwierdzone do przeprowadzenia oceny oraz poziomy dostępu wymagane do pomyślnego przeprowadzenia oceny lub zdarzenia testowego. Plan testów jest opracowywany na podstawie istniejącego materiału dowodowego (BOE) systemu informacyjnego, który jest przedstawiany przez właściciela systemów informacyjnych osobie oceniającej kontrolę bezpieczeństwa, w tym planu bezpieczeństwa systemów (SSP), dokumentów inżynieryjnych, architektonicznych i dotyczących polityki, podręczników użytkownika i administratora oraz poprzednich planów testów i wyników testów. Kompletne BOE na tym etapie zapewnia, że osoba oceniająca rozumie system informatyczny w takiej postaci, w jakiej został zbudowany, na wymaganym poziomie szczegółowości, który pozwoli SCA opracować plan testów, który odpowiednio przetestuje postawę systemu w zakresie bezpieczeństwa oraz wdrożenie w systemie wymaganych kontroli bezpieczeństwa. Kontrole, które zostały ocenione i zweryfikowane przez asesora, który został uznany za niezależnego przez urzędnika zatwierdzającego (podczas wcześniejszych kroków w RMF), aby zapewnić wystarczającą ochronę i zgodność dla systemu lub wspólnego dostawcy kontroli, nie będą musiały być ponownie oceniane; początkowe wyniki niezależnej oceny mogą być wykorzystane jako dowód zgodności z wymogiem tej kontroli. W przypadkach, w których osoba oceniająca nie została uznana za niezależną, plan oceny i wyniki mogą być wykorzystane przez niezależną osobę oceniającą w celu stworzenia podstawy zgodności systemu informatycznego, aby przyspieszyć ocenę, jeżeli poprzedni plan testów został uznany za odpowiedni. Jeżeli poprzedni plan nie jest odpowiedni, będzie musiał zostać ulepszony, przeredagowany lub opracowany od podstaw przez niezależną osobę przeprowadzającą ocenę kontrolną.

Plan oceny określa cele wydarzenia testowego niezależnej osoby przeprowadzającej ocenę kontroli bezpieczeństwa. Ten plan oceny kontroli określa, kto będzie przeprowadzał test i procedury, które będą stosowane w celu zatwierdzenia, że kontrole bezpieczeństwa są na miejscu i działają zgodnie z projektem w celu zapewnienia bezpieczeństwa i zgodności. W pełni opracowany plan służy organizacji do dwóch celów. Po pierwsze, ustanawia odpowiednie oczekiwania dla oceny kontroli bezpieczeństwa poprzez zdefiniowanie procedur, które będą używane do oceny systemu lub dostawcy kontroli, jak również granic i zakresu testu. Następnie wiąże osoby oceniające z określonym poziomem wysiłku, zapewniając, że zasoby nie zostaną zmarnowane na zbyt skomplikowane testy, a ich wynikiem będzie prawidłowa ocena wymogów kontroli bezpieczeństwa. W niektórych przypadkach, złożona strategia testowania jest potrzebna ze względu na krytyczność systemu lub informacji, które zawiera. We wszystkich przypadkach, poziom złożoności i szczegółowości oceny kontroli bezpieczeństwa powinien być współmierny do krytyczności systemu lub wspólnego zestawu kontroli.

Istnieją trzy główne rodzaje ocen używanych do testowania kontroli bezpieczeństwa, które muszą być zaimplementowane w systemie: ocena testów rozwojowych i oceny, niezależna weryfikacja i walidacja (IV&V), oraz trzeci rodzaj, jeden, który wspiera którykolwiek z następujących: oceny wspierające autoryzację lub ponowną autoryzację; ocena ciągłego monitorowania; i remediacja, lub regresja, oceny. Niezależny zespół oceniający, zdefiniowany przez urzędnika zatwierdzającego, jest wymagany dla ocen autoryzacji lub ponownej autoryzacji. Ten poziom niezależności jest również wymagany dla ocen IV&V, w tym ocen, których wyniki mają być wykorzystane przez IV&V lub oceny/ponownej oceny testów, takich jak testy przeprowadzone na wczesnym etapie rozwoju systemu. Często bardziej korzystne jest posiadanie dedykowanego zespołu niezależnych asesorów przydzielonych do przeprowadzania wszystkich tego typu ocen, aby zapewnić, że wyniki mogą być wykorzystane do wspierania zdarzeń autoryzacji i reautoryzacji, jak również IV&V. Niezależność oznacza, że osoba oceniająca jest wolna od wszelkich rzeczywistych lub postrzeganych konfliktów interesów w odniesieniu do projektowania i rozwoju kontroli bezpieczeństwa systemu. Aby osiągnąć ten poziom niezależności, urzędnik zatwierdzający może zwrócić się do organizacji, która jest oddzielona od zespołu projektowego i rozwojowego, w tym innych organizacji lub zespołu zakontraktowanego, o przeprowadzenie niezależnych i niezależnych ocen kontroli bezpieczeństwa. Jeżeli korzysta się z zasobów zakontraktowanych, ważne jest, aby właściciel systemu nie był bezpośrednio zaangażowany w proces kontraktowania, aby zapewnić niezależność oceniających kontrolę.

Plan testów bezpieczeństwa powinien definiować rodzaje narzędzi ręcznych i automatycznych, które będą wykorzystywane w zdarzeniu testowym; maksymalną skuteczność można uzyskać poprzez wykorzystanie testów automatycznych i procedur testowych podczas przeprowadzania ocen kontroli bezpieczeństwa, kiedy tylko jest to możliwe. W przypadku użycia zautomatyzowanego narzędzia oceny lub aplikacji testującej do walidacji kontroli, plan testów powinien wskazywać ustawienia, profile, wtyczki i inne ustawienia konfiguracyjne używanego zautomatyzowanego narzędzia. Istnieje wiele przypadków, w których zautomatyzowane narzędzia nie są w stanie ocenić kontroli bezpieczeństwa lub będą musiały być wzmocnione przez procesy i procedury ręczne. W takich przypadkach procedury ręczne muszą być w pełni udokumentowane, łącznie z wykonanymi krokami, wprowadzonymi poleceniami i wybranymi pozycjami menu. Szczegółowa dokumentacja zapewnia, że test może być dokładnie powtórzony, a w przypadku wzajemności, pozwala osobom sprawdzającym plan testu jako część materiału dowodowego zrozumieć, jak każda kontrola została oceniona.

Oprócz udokumentowania kroków podjętych w celu wykonania określonego zadania testowego dla każdej kontroli bezpieczeństwa, ważne jest udokumentowanie oczekiwanego wyniku zdarzenia testowego. Jest to zwykle wymienione jako część testowanego zdarzenia dla każdej kontroli, zwykle po szczegółowych krokach testowych. Dokumentacja ta pozwala SCA i innym zainteresowanym stronom poznać oczekiwany wynik działania systemu lub urządzenia, który spowoduje pomyślne przejście tego konkretnego zdarzenia testowego. W niektórych przypadkach, istnieje wiele wyników, które są do przyjęcia; dla tych zdarzeń, może być bardziej rozsądne, aby wymienić wyniki, które spowodowałyby niezaliczenie zdarzenia testowego; następnie plan testowy powinien wskazywać, że każdy wynik oprócz tych wymienionych wskazuje, że kontrola jest wdrożona prawidłowo.

Oprócz bycia niezależnym, osoba oceniająca kontrolę bezpieczeństwa powinna mieć dużą wiedzę techniczną w zakresie wdrażania i oceny kontroli technicznych, operacyjnych i zarządzania. Te trzy rodzaje kontroli mogą być wdrożone jako kontrole wspólne, jako kontrole specyficzne dla systemu lub jako kontrole hybrydowe, w oparciu o sposób, w jaki system został opracowany i zaprojektowany. Z tego powodu asesor musi mieć doświadczenie w ocenie szerokiego zakresu implementacji kontroli w wielu różnych środowiskach i technologiach.

Generalnie, zdarzenia testowe są techniczne; jednakże, niektóre zdarzenia testowe obejmują przegląd dokumentacji, podczas gdy niektóre zadania badania i wywiadu wymagają formy oceny technicznej – najczęściej przeglądu ustawień systemu lub danych wyjściowych. Chociaż nie jest to oficjalna definicja, ogólna zasada jest taka, że zdarzenia egzaminacyjne skupiają się na przeglądzie dokumentacji lub danych wyjściowych systemu, zdarzenia wywiadowcze skupiają się na rozmowach z różnymi osobami, a zdarzenia testowe są ocenami technicznymi. SCA wykorzysta te wymagania, aby upewnić się, że plan testów, który opracowuje, odnosi się do konkretnego sposobu, w jaki kontrola powinna być oceniana. Alfa zawiera również trzy załączniki, które mogą być pomocne w tym momencie. Dodatek D definiuje metody oceny, odpowiednie obiekty i atrybuty; dodatek G wyjaśnia, jak opracować SAR i szablon SAR; oraz dodatek G szczegółowo opisuje, jak tworzyć przypadki oceny dla planu testów, jak również przykłady przypadków oceny, które mogą być wykorzystane jako szablony.

Określenie głębokości i zakresu testowania jest ważne podczas opracowywania oceny kontroli bezpieczeństwa lub planu testów, ponieważ ocena lub plan ustala poziom wysiłku użytego do testowania każdej kontroli. Czynniki te określają rygor i zakres testów wymaganych dla każdej konkretnej kontroli i są hierarchiczne, zapewniając zwiększone wymagania dotyczące oceny dla zwiększonej pewności potrzebnej dla niektórych systemów informacyjnych. Szczegółowość oceny określa poziom szczegółowości wymagany do pełnego przetestowania kontroli bezpieczeństwa i może mieć jedną z trzech wartości atrybutów: podstawowy, ukierunkowany lub kompleksowy. Pokrycie określa zakres lub szerokość oceny i obejmuje te same atrybuty: podstawowy, ukierunkowany i kompleksowy. Te atrybuty głębokości i zasięgu są przypisywane przez organizację podczas definiowania ogólnoorganizacyjnego programu zarządzania ryzykiem, który będzie wspierał RMF. Zazwyczaj, wraz ze wzrostem wymagań dotyczących zapewnienia bezpieczeństwa systemów informacyjnych, wzrastają również wymagania dotyczące zakresu i rygoru oceny kontroli bezpieczeństwa. Dodatek D do NIST SP 800-53A definiuje wymagania dotyczące głębokości i zakresu dla każdej z metod oceny: badania, wywiadu i testu. Fragmenty tego dokumentu zostały powielone w Dodatku D dla wygody; jednakże, przed zakończeniem opracowywania planu oceny, oceniający kontrolę bezpieczeństwa powinien sprawdzić, czy informacje te są aktualne; najnowsza zatwierdzona wersja znajduje się na stronie internetowej NIST.

Jest to rozszerzenie głównej kontroli bezpieczeństwa AC-3. Weryfikuje on dwa kluczowe ulepszenia, które muszą być wdrożone w systemach, w których ta kontrola jest obowiązkowa. Jak wskazuje cel oceny (i), wzmocnienie weryfikuje, że organizacja zidentyfikowała informacje systemowe, które mają być zaszyfrowane lub przechowywane off-line, oraz jak wskazuje część (ii), że organizacja faktycznie szyfruje lub przechowuje te informacje off-line. Metody i obiekty oceny określają, co jest wymagane do oceny tych dwóch składników. W tym przypadku wszystkie trzy metody – badanie, wywiad i testowanie – są wymagane do pełnej oceny usprawnienia.

Podczas opracowywania planu oceny kontroli bezpieczeństwa, osoba oceniająca kontrolę bezpieczeństwa najpierw opracowuje metodę badania systemu. SCA ocenia metody w sekcji „wybierz spośród” metody badania. SCA może zbadać dowolny lub wszystkie z następujących dokumentów: politykę kontroli dostępu, procedury dotyczące egzekwowania dostępu, dokumentację projektową systemu informatycznego, ustawienia konfiguracyjne systemu informatycznego i związaną z nimi dokumentację, zapisy z audytu systemu informatycznego oraz inne istotne dokumenty lub zapisy. Asesor ocenia metodę testową zdefiniowaną dla tego usprawnienia, a następnie buduje plan testów w celu oceny zautomatyzowanych mechanizmów realizujących funkcje egzekwowania dostępu. Następnie asesor dokonuje przeglądu przedłożonego BOE systemu w celu określenia technologii, które zostaną wykorzystane do wdrożenia szyfrowania lub przechowywania off-line dla wymaganych typów informacji, w tym danych wyjściowych procedury testowej lub oczekiwanych wyników oceny. Wreszcie, oceniający zauważa, że to rozszerzenie zawiera wymóg przeprowadzenia wywiadu, tak więc podczas oceny przeprowadzana jest część wywiadowa. Chociaż nie jest to wymagane, niektórzy asesorzy opracowują skrypt do przeprowadzenia wywiadu, a inni wykorzystują jedynie wyniki innych metod oceny (badanie i testowanie) do określenia pytań do wywiadu w sposób doraźny podczas testu.

W każdym przypadku wyniki wywiadu powinny wspierać identyfikację i ocenę systemu z poprawną implementacją tego rozszerzenia, zgodnie z udokumentowanymi wymaganiami ujawnionymi w komponencie badającym i wynikami testów. Zapewnia to, że personel wspierający system rozumie wymagania dla tego rozszerzenia, zdefiniowane przez organizację i właścicieli systemu. Jeśli ocena zakończy się niepowodzeniem którejkolwiek z metod, kontrola zostanie wymieniona jako niepowodzenie lub częściowe-przejście/częściowe-niepowodzenie, w zależności od zasad zaangażowania w ocenę.

Wynikiem tego zadania jest w pełni opracowany, przejrzany i zatwierdzony plan testów, który definiuje osoby oceniające kontrolę bezpieczeństwa, proces oceny i granice oceny oraz zawiera zatwierdzone ROE. Określona jest niezależność zespołu oceniającego, a w niektórych przypadkach wymagane jest wykorzystanie niezależnych oceniających, zgodnie z ustaleniami urzędnika zatwierdzającego. Plan testów, po jego opracowaniu i przeglądzie, jest zatwierdzany przez OA.

Sekcja przykładowego planu oceny kontroli bezpieczeństwa znajduje się w dodatku G

.