Faza 4, Sarcina 1: Planul de evaluare a controlului de securitate

Evaluatorul controlului de securitate elaborează un plan de evaluare detaliat care să fie utilizat ca o hartă pentru efectuarea evaluării independente a controalelor de securitate. Acest plan specifică ce componente ale sistemului vor fi evaluate, ce instrumente automate sau procese manuale vor fi utilizate și care vor fi limitele testului. Planul de testare ar trebui să includă, de asemenea, reguli de angajament (ROE) convenite care au fost aprobate de proprietarul sistemului informatic și de ordonatorul de credite. Aceste REO ar trebui să definească domeniul de aplicare și profunzimea evaluării de securitate, punctele de contact (POC) pentru evenimentele sau incidentele care au loc în timpul evenimentului de testare, instrumentele și tehnicile acceptabile aprobate pentru efectuarea evaluării și nivelurile de acces necesare pentru finalizarea cu succes a evaluării sau a evenimentului de testare. Planul de testare este elaborat pe baza ansamblului de dovezi (BOE) existent al sistemului informatic, care este prezentat de către proprietarul sistemului informatic evaluatorului de control al securității, inclusiv planul de securitate a sistemelor (SSP), documentele tehnice, arhitecturale și de politică, ghidurile utilizatorului și ale administratorului, precum și planurile de testare și rezultatele testelor anterioare. Un BOE complet în acest punct asigură faptul că evaluatorul înțelege sistemul informatic așa cum a fost construit, la nivelul necesar de detaliu care va permite SCA să elaboreze un plan de testare care să testeze în mod adecvat poziția de securitate a sistemului și implementarea de către sistem a controalelor de securitate necesare. Controalele care au fost evaluate și verificate de către un evaluator considerat independent de către ordonatorul de credite (în cursul etapelor anterioare din cadrul RMF) ca asigurând o protecție și o conformitate suficiente pentru sistemul sau furnizorul comun de control nu vor trebui reevaluate; rezultatele evaluării independente inițiale pot fi utilizate ca dovadă a conformității cu cerința controlului respectiv. În cazurile în care evaluatorul nu a fost considerat independent, planul și rezultatele evaluării pot fi utilizate de către evaluatorul independent al controlului pentru a forma o bază de referință a conformității sistemului informatic pentru a accelera evaluarea, dacă planul de testare anterior este considerat adecvat. Dacă planul anterior nu este adecvat, acesta va trebui să fie îmbunătățit, rescris sau dezvoltat de la zero de către evaluatorul independent al controlului.

Planul de evaluare furnizează obiectivele pentru evenimentul de testare al evaluatorilor independenți ai controlului de securitate. Acest plan pentru evaluarea controlului identifică cine va efectua evenimentul de testare și procedurile care vor fi utilizate pentru a valida faptul că controalele de securitate sunt în vigoare și funcționează așa cum au fost proiectate pentru a asigura securitatea și conformitatea. Un plan complet dezvoltat are două scopuri pentru organizație. În primul rând, acesta stabilește așteptările corespunzătoare pentru evaluarea controlului de securitate prin definirea procedurilor care vor fi utilizate pentru a evalua sistemul sau furnizorul de control, precum și limitele și domeniul de aplicare al testului. În al doilea rând, planul îi obligă pe evaluatori la un nivel de efort definit, asigurându-se că resursele nu sunt risipite în teste prea complexe și are ca rezultat o evaluare corectă a cerințelor privind controalele de securitate. În unele cazuri, este necesară o strategie de testare complexă pe baza caracterului critic al sistemului sau a informațiilor pe care acesta le conține. În toate cazurile, nivelul de complexitate și de detaliu al evaluării controlului de securitate ar trebui să fie pe măsura criticii sistemului sau a setului comun de controale.

Există trei tipuri majore de evaluări utilizate pentru a testa controalele de securitate care trebuie implementate în sistem: evaluarea de testare și evaluare a dezvoltării, evaluarea de verificare și validare independentă (IV&V) și un al treilea tip, unul care sprijină oricare dintre următoarele: evaluări care sprijină autorizarea sau reautorizarea; evaluarea de monitorizare continuă; și evaluări de remediere sau de regresie. Pentru evaluările de autorizare sau reautorizare este necesară o echipă de evaluare independentă, așa cum este definită de ordonatorul de credite. Acest nivel de independență este, de asemenea, necesar pentru evaluările IV&V, inclusiv pentru evaluările concepute pentru ca rezultatele lor să fie utilizate de IV&V sau pentru testele de evaluare/reevaluare, cum ar fi testele efectuate la începutul dezvoltării sistemului. Adesea, este mai avantajos să fie desemnată o echipă dedicată de evaluatori independenți care să efectueze toate aceste tipuri de evaluări pentru a se asigura că rezultatele pot fi utilizate pentru a sprijini evenimentele de autorizare și reautorizare, precum și IV&V. Independența implică faptul că evaluatorul este liber de orice conflicte de interese reale sau percepute în ceea ce privește proiectarea și dezvoltarea controalelor de securitate ale sistemului. Pentru a atinge acest nivel de independență, ordonatorul de credite poate apela la o organizație care este separată de echipa de proiectare și dezvoltare, inclusiv la alte organizații sau la o echipă contractată, pentru evaluări independente și de control al securității. În cazul în care se utilizează resurse contractate, este important ca proprietarul sistemului să nu fie implicat direct în procesul de contractare pentru a asigura independența evaluatorilor de control.

Planul de testare a securității trebuie să definească tipurile de instrumente manuale și automate care vor fi utilizate în cadrul evenimentului de testare; eficacitatea maximă poate fi obținută prin utilizarea testelor automate și a procedurilor de testare atunci când se efectuează evaluări ale controlului de securitate, ori de câte ori este posibil. Atunci când se utilizează un instrument automatizat de evaluare sau o aplicație de testare pentru validarea controlului, planul de testare trebuie să indice setările, profilurile, pluginurile și alte setări de configurare pentru instrumentul automatizat utilizat. Există multe cazuri în care instrumentele automatizate nu pot evalua un control de securitate sau vor trebui să fie consolidate prin procese și proceduri manuale. În aceste cazuri, procedurile manuale trebuie să fie complet documentate, inclusiv pașii parcurși, comenzile introduse și elementele de meniu selectate. Documentarea detaliată asigură faptul că testul poate fi repetat cu exactitate și, în cazul reciprocității, permite persoanelor care inspectează planul de testare ca parte a corpului de probe să înțeleagă modul în care a fost evaluat fiecare control.

În plus față de documentarea pașilor parcurși pentru a finaliza sarcina de testare specifică pentru fiecare control de securitate, este important să se documenteze rezultatul așteptat al evenimentului de testare. Acesta este de obicei listat ca o parte a evenimentului testat pentru fiecare control, de obicei după etapele detaliate ale testului. Această documentație permite SCA și altor părți interesate să cunoască rezultatul așteptat de la sistem sau dispozitiv, care va duce la trecerea cu succes a acelui eveniment de testare specific. În unele cazuri, există mai multe rezultate care sunt acceptabile; pentru aceste evenimente, poate fi mai prudent să se enumere rezultatele care ar duce la eșecul evenimentului de testare; apoi, planul de testare ar trebui să indice că orice rezultat, cu excepția celor enumerate, indică faptul că controlul este implementat corect.

În plus față de faptul că este independent, evaluatorul controlului de securitate ar trebui să aibă o bună doză de expertiză tehnică în implementarea și evaluarea controalelor tehnice, operaționale și de management. Aceste trei tipuri de controale pot fi implementate ca și controale comune, pot fi controale specifice sistemului sau pot fi implementate ca și controale hibride, în funcție de modul în care a fost dezvoltat și proiectat sistemul. Din acest motiv, evaluatorul trebuie să aibă experiență în evaluarea unei game largi de implementări de control într-o serie de medii și tehnologii diferite.

În general, evenimentele de testare sunt tehnice; cu toate acestea, unele evenimente de testare implică revizuirea documentației, în timp ce unele sarcini de examinare și interviu necesită o formă de evaluare tehnică – cel mai frecvent revizuirea setărilor sau a ieșirii sistemului. Deși nu este o definiție oficială, o regulă generală este că evenimentele de examinare se concentrează pe revizuirea documentației sau a ieșirii sistemului, evenimentele de interviu se concentrează pe discuții cu diferite persoane, iar evenimentele de testare sunt evaluări tehnice. SCA va utiliza aceste cerințe pentru a se asigura că planul de testare pe care îl elaborează abordează modul specific în care trebuie evaluat controlul. Alfa conține, de asemenea, trei anexe care pot fi utile în acest moment. Apendicele D definește metodele de evaluare, obiectele și atributele aplicabile; apendicele G explică modul de elaborare a unui SAR și a unui șablon SAR; și apendicele G detaliază modul de creare a cazurilor de evaluare pentru un plan de testare, precum și exemple de cazuri de evaluare care pot fi utilizate ca șabloane.

Determinarea profunzimii și a acoperirii testării este importantă atunci când se elaborează o evaluare a controalelor de securitate sau un plan de testare, deoarece evaluarea sau planul stabilește nivelul de efort utilizat pentru testarea fiecărui control. Acești factori definesc rigoarea și domeniul de aplicare a testării necesare pentru fiecare control specific și este ierarhică, oferind cerințe de evaluare sporite pentru asigurările sporite necesare pentru anumite sisteme informatice. Profunzimea evaluării determină nivelul de detaliu necesar pentru testarea completă a controalelor de securitate și poate avea una dintre cele trei valori ale atributelor: de bază, concentrată sau cuprinzătoare. Acoperirea definește domeniul de aplicare sau amploarea evaluării și include aceleași atribute de bază, concentrat și cuprinzător. Aceste atribute de profunzime și acoperire sunt atribuite de organizație atunci când se definește un program de gestionare a riscurilor la nivelul întregii organizații care va sprijini RMF. În mod normal, pe măsură ce cresc cerințele de asigurare pentru sistemele informatice, cresc și cerințele privind domeniul de aplicare și rigoarea evaluării controalelor de securitate. Apendicele D din NIST SP 800-53A definește cerințele de profunzime și de acoperire pentru fiecare dintre metodele de evaluare de examinare, interviu și testare. Porțiuni din acest document au fost reproduse în apendicele D pentru comoditate; cu toate acestea, înainte de a finaliza elaborarea planului de evaluare, evaluatorul controalelor de securitate trebuie să verifice dacă aceste informații sunt actualizate; cea mai recentă versiune aprobată se găsește pe site-ul web al NIST.

Aceasta este o îmbunătățire a controlului principal de securitate AC-3. Acesta verifică două îmbunătățiri cheie care trebuie să fie implementate în sistemele în care acest control este impus. După cum indică obiectivul de evaluare (i), îmbunătățirea verifică faptul că organizația a identificat informațiile din sistem care urmează să fie criptate sau stocate off-line și, după cum indică partea (ii), că organizația criptează sau stochează de fapt aceste informații off-line,. Metodele și obiectele de evaluare definesc ceea ce este necesar pentru a evalua aceste două componente. În acest caz, toate cele trei metode – examinarea, interviul și testarea – sunt necesare pentru o evaluare completă a îmbunătățirii.

Când elaborează planul de evaluare a controalelor de securitate, evaluatorul controlului de securitate elaborează mai întâi o metodă de examinare a sistemului. SCA evaluează metodele din secțiunea „selectați din” a metodei de examinare. SCA poate examina oricare sau toate documentele următoare: politica de control al accesului, procedurile care abordează punerea în aplicare a accesului, documentația de proiectare a sistemului informatic, setările de configurare a sistemului informatic și documentația asociată, înregistrările de audit ale sistemului informatic și alte documente sau înregistrări relevante. Evaluatorul evaluează metoda de testare definită pentru acest accesoriu, apoi elaborează un plan de testare pentru a evalua mecanismele automate, care implementează funcțiile de aplicare a respectării accesului. În continuare, evaluatorul analizează BOE prezentat de sistem pentru a determina tehnologiile care vor fi utilizate pentru a implementa fie criptarea, fie stocarea off-line pentru tipurile de informații solicitate, inclusiv rezultatele procedurii de testare sau rezultatele așteptate ale evaluării. În cele din urmă, evaluatorul observă că acest accesoriu are o cerință de interviu, astfel încât, în timpul evaluării, se desfășoară partea de interviu. Deși nu este obligatoriu, unii evaluatori elaborează un scenariu pentru a realiza interviul, iar alții utilizează doar rezultatele celorlalte metode de evaluare (examinare și testare) pentru a determina întrebările interviului într-o manieră ad-hoc în timpul testului.

În ambele cazuri, rezultatele interviului ar trebui să sprijine identificarea și evaluarea unui sistem cu o implementare corectă a acestui accesoriu, în conformitate cu cerințele documentate descoperite în componenta de examinare și cu rezultatele testului. Acest lucru asigură faptul că personalul de sprijin al sistemului înțelege cerințele pentru această îmbunătățire, așa cum au fost definite de organizație și de proprietarii sistemului. În cazul în care evaluarea are ca rezultat un eșec al oricăreia dintre metode, controlul va fi listat ca fiind un eșec sau un eșec parțial sau un eșec parțial, în funcție de regulile de angajare ale evaluării.

Produsul acestei sarcini este un plan de testare complet dezvoltat, revizuit și aprobat, care definește evaluatorii controlului de securitate, procesul de evaluare și limitele evaluării și include ROE aprobate. Se definește independența echipei de evaluare și, în anumite cazuri, este necesar să se recurgă la evaluatori independenți, astfel cum a fost stabilit de către ordonatorul de credite. Planul de testare, odată elaborat și revizuit, este aprobat de către OA.

O secțiune a unui exemplu de plan de evaluare a controlului de securitate este inclusă în apendicele G

.