Fase 4, Tarefa 1: Plano de Avaliação do Controlo de Segurança

>

>

O avaliador do controlo de segurança desenvolve um plano de avaliação detalhado para ser utilizado como um mapa para a realização da avaliação independente dos controlos de segurança. Este plano especifica quais componentes do sistema serão avaliados, quais ferramentas automatizadas ou processos manuais serão utilizados e quais serão os limites do teste. O plano de teste também deve incluir regras de compromisso acordadas (ROE) que tenham sido aprovadas pelo proprietário do sistema de informação e pelo funcionário autorizado. Estas REO devem definir o âmbito e profundidade da avaliação de segurança, pontos de contacto (POC) para eventos ou incidentes que ocorram durante o evento de teste, ferramentas e técnicas aceitáveis aprovadas para a realização da avaliação, e níveis de acesso necessários para completar com sucesso uma avaliação ou evento de teste. O plano de teste é desenvolvido a partir do conjunto de evidências (BOE) do sistema de informação existente que é apresentado pelo proprietário do sistema de informação ao avaliador do controle de segurança, incluindo o plano de segurança do sistema (SSP), documentos de engenharia, arquitetura e política, guias de usuário e administrador, e planos e resultados de teste anteriores. Um BOE completo neste ponto garante que o avaliador entenda o sistema de informação como ele foi construído, no nível de detalhe requerido que permitirá ao SCA desenvolver um plano de teste que teste adequadamente a postura de segurança do sistema e a implementação do sistema dos controles de segurança requeridos. Os controles que tenham sido avaliados e verificados por um avaliador que tenha sido considerado independente pelo funcionário autorizado (durante as etapas anteriores no RMF) para fornecer proteção e conformidade suficientes para o sistema ou fornecedor de controle comum não precisarão ser reavaliados; os resultados da avaliação inicial independente podem ser usados como prova de conformidade com a exigência desse controle. Nos casos em que o avaliador não foi considerado independente, o plano de avaliação e os resultados podem ser utilizados pelo avaliador de controlo independente para formar uma linha de base da conformidade do sistema de informação para acelerar a avaliação, se o plano de teste anterior for considerado adequado. Se o plano anterior não for adequado, terá de ser melhorado, reescrito ou desenvolvido de raiz pelo avaliador de controlo independente.

O plano de avaliação fornece os objectivos para o evento de teste dos avaliadores de controlo de segurança independentes. Este plano para a avaliação de controle identifica quem irá conduzir o evento de teste e os procedimentos que serão usados para validar que os controles de segurança estão em vigor e funcionando como projetados para fornecer segurança e conformidade. Um plano totalmente desenvolvido serve dois propósitos para a organização. Primeiro, estabelece as expectativas apropriadas para a avaliação do controle de segurança, definindo os procedimentos que serão usados para avaliar o sistema ou o provedor de controle, assim como os limites e o escopo do teste. Em seguida, vincula os avaliadores a um nível de esforço definido, garantindo que os recursos não sejam desperdiçados em testes excessivamente complexos, e resulta na avaliação correta dos requisitos de controle de segurança. Em alguns casos, uma estratégia de teste complexa é necessária com base na criticidade do sistema ou das informações nele contidas. Em todos os casos, o nível de complexidade e detalhe na avaliação do controle de segurança deve ser condizente com a criticidade do sistema ou conjunto de controle comum.

Existem três tipos principais de avaliações utilizadas para testar os controles de segurança necessários para serem implementados no sistema: o teste de desenvolvimento e avaliação, a verificação e validação independente (IV&V), e um terceiro tipo, que suporta qualquer um dos seguintes: avaliações que suportam autorização ou reautorização; a avaliação de monitoramento contínuo; e as avaliações de remediação, ou regressão. Uma equipe de avaliação independente, conforme definida pelo funcionário responsável pela autorização, é necessária para as avaliações de autorização ou reautorização. Este nível de independência também é necessário para avaliações IV&V, incluindo avaliações destinadas a ter seus achados utilizados por IV&V ou testes de avaliação/reavaliação, tais como testes realizados no início do desenvolvimento do sistema. Muitas vezes, é mais vantajoso ter uma equipe dedicada de avaliadores independentes designada para conduzir todos esses tipos de avaliações para garantir que os resultados possam ser usados para apoiar eventos de autorização e reautorização, assim como IV&V. A independência implica que o avaliador esteja livre de quaisquer conflitos de interesse reais ou percebidos no que diz respeito ao desenho e desenvolvimento dos controles de segurança do sistema. Para alcançar este nível de independência, o funcionário autorizador pode procurar uma organização separada da equipe de projeto e desenvolvimento, incluindo outras organizações ou uma equipe contratada, para avaliações independentes e de controle de segurança. Se forem utilizados recursos contratados, é importante que o proprietário do sistema não esteja diretamente envolvido no processo de contratação para garantir a independência dos avaliadores de controle.

O plano de testes de segurança deve definir os tipos de ferramentas manuais e automatizadas que serão utilizadas no evento de teste; a máxima eficácia pode ser obtida utilizando testes automatizados e procedimentos de teste ao realizar avaliações de controle de segurança, sempre que possível. Ao utilizar uma ferramenta de avaliação automatizada ou aplicação de testes para validar o controle, o plano de teste deve indicar as configurações, perfis, plugins e outras configurações para a ferramenta automatizada utilizada. Há muitos casos em que as ferramentas automatizadas não podem avaliar um controle de segurança ou precisarão ser reforçadas por processos e procedimentos manuais. Nesses casos, os procedimentos manuais precisam ser totalmente documentados, incluindo passos dados, comandos inseridos e itens de menu selecionados. A documentação detalhada garante que o teste pode ser repetido com precisão e, em caso de reciprocidade, permite que os indivíduos que inspecionam o plano de teste como parte do conjunto de evidências entendam como cada controle foi avaliado.

Além de documentar os passos tomados para completar a tarefa específica de teste para cada controle de segurança, é importante documentar o resultado esperado do evento do teste. Isto é normalmente listado como uma parte do evento testado para cada controle, normalmente após os passos detalhados do teste. Esta documentação permite que a SCA e outras partes interessadas conheçam a saída esperada do sistema ou dispositivo, o que resultará em passar com sucesso naquele evento de teste específico. Em alguns casos, há múltiplos resultados que são aceitáveis; para esses eventos, pode ser mais prudente listar os resultados que resultariam na falha do evento de teste; então o plano de teste deve indicar que qualquer resultado, exceto aqueles listados, indica que o controle está implementado corretamente.

Além de ser independente, o avaliador do controle de segurança deve ter uma boa dose de conhecimento técnico na implementação e avaliação dos controles técnicos, operacionais e de gerenciamento. Estes três tipos de controles podem ser implementados como controles comuns, sejam controles específicos do sistema ou implementados como controles híbridos, com base na forma como o sistema foi desenvolvido e projetado. Por este motivo, o avaliador deve ter experiência na avaliação de uma ampla gama de implementações de controle em vários ambientes e tecnologias diferentes.

Generalmente, os eventos de teste são técnicos; entretanto, alguns eventos de teste envolvem a revisão de documentação, enquanto alguns examinam e entrevistam tarefas que requerem uma forma de avaliação técnica – a mais comum é a revisão ou saída do sistema. Embora não seja uma definição oficial, uma regra geral é que os eventos de exame focam na revisão da documentação ou saída do sistema, os eventos de entrevista focam na conversa com diferentes indivíduos, e os eventos de teste são avaliações técnicas. A SCA utilizará esses requisitos para garantir que o plano de teste que estão desenvolvendo aborde a forma específica como o controle deve ser avaliado. O alfa também contém três apêndices que podem ser úteis neste ponto. O apêndice D define métodos de avaliação, objetos aplicáveis e atributos; o apêndice G explica como desenvolver um SAR e um modelo SAR; e o apêndice G detalha como criar casos de avaliação para um plano de teste, assim como exemplos de casos de avaliação que podem ser usados como modelos.

Determinar a profundidade e a cobertura dos testes é importante ao desenvolver uma avaliação ou plano de teste de controles de segurança, pois a avaliação ou plano define o nível de esforço usado para testar cada controle. Estes fatores definem o rigor e o escopo dos testes necessários para cada controle específico e é hierárquico, fornecendo maiores requisitos de avaliação para o aumento das garantias necessárias para alguns sistemas de informação. A profundidade da avaliação determina o nível de detalhe necessário para o teste completo dos controles de segurança e pode ser um dos três valores de atributos: básico, focado ou abrangente. A cobertura define o escopo ou abrangência da avaliação e inclui os mesmos atributos de básico, focado e abrangente. Esses atributos de profundidade e cobertura são atribuídos pela organização ao definir um programa de gerenciamento de riscos para toda a organização que irá suportar o RMF. Normalmente, conforme aumentam os requisitos de garantia dos sistemas de informação, aumentam também os requisitos para o escopo e o rigor da avaliação dos controles de segurança. O Anexo D do NIST SP 800-53A define os requisitos de profundidade e cobertura para cada um dos métodos de avaliação de exame, entrevista e teste. Partes deste documento foram reproduzidas no Apêndice D por conveniência; entretanto, antes de completar o desenvolvimento do plano de avaliação, o avaliador dos controles de segurança deve verificar se esta informação está atualizada; a última versão aprovada está no website do NIST.

Esta é uma melhoria do controlo de segurança principal AC-3. Ele verifica duas melhorias chave que devem ser implementadas nos sistemas onde este controle é mandatório. Como indicado pelo objetivo de avaliação (i), a melhoria verifica que a organização identificou as informações do sistema a serem criptografadas ou armazenadas off-line, e como indicado pela parte (ii), que a organização de fato criptografa ou armazena essas informações off-line. Os métodos e objetos de avaliação definem o que é necessário para avaliar esses dois componentes. Neste caso, todos os três métodos – exame, entrevista e teste – são necessários para uma avaliação completa da melhoria.

Ao desenvolver o plano de avaliação dos controles de segurança, o avaliador do controle de segurança primeiro desenvolve um método para examinar o sistema. O SCA avalia os métodos na seção “selecione de” do método de exame. A SCA pode examinar qualquer um ou todos os seguintes documentos: política de controle de acesso, procedimentos que abordam a aplicação de controle de acesso, documentação de projeto do sistema de informação, configurações do sistema de informação e documentação associada, registros de auditoria do sistema de informação, e outros documentos ou registros relevantes. O avaliador avalia o método de teste definido para esta melhoria e, em seguida, constrói um plano de teste para avaliar os mecanismos automatizados, implementando funções de aplicação da lei de acesso. Em seguida, o avaliador analisa o BOE do sistema apresentado para determinar as tecnologias que serão usadas para implementar a criptografia ou o armazenamento off-line para os tipos de informação necessários, incluindo a saída do procedimento de teste ou os resultados esperados da avaliação. Finalmente, o avaliador observa que este aprimoramento tem um requisito de entrevista para que, durante a avaliação, a parte da entrevista seja conduzida. Embora não seja necessário, alguns avaliadores desenvolvem um script para conduzir a entrevista e outros apenas usam os resultados dos outros métodos de avaliação (exame e teste) para determinar as perguntas da entrevista de forma ad hoc durante o teste.

Em ambos os casos, os resultados da entrevista devem suportar a identificação e avaliação de um sistema com uma implementação correta deste aprimoramento, de acordo com os requisitos documentados descobertos no componente examinar e nos resultados do teste. Isto assegura que a equipe de suporte do sistema compreenda os requisitos para esta melhoria, conforme definido pela organização e pelos proprietários do sistema. Se a avaliação resultar em falha de algum dos métodos, o controle será listado como falha ou falha parcial, dependendo das regras de engajamento da avaliação.

O resultado desta tarefa é um plano de teste totalmente desenvolvido, revisado e aprovado que define os avaliadores do controle de segurança, o processo de avaliação e os limites da avaliação, e inclui o ROE aprovado. A independência da equipe de avaliação é definida e, em certos casos, é necessário o uso de avaliadores independentes, conforme determinado pelo funcionário autorizador. O plano de teste, uma vez desenvolvido e revisto, é aprovado pela AO.

Uma secção de um exemplo de plano de avaliação de controlo de segurança está incluída no Apêndice G