Exportando Catálogo, Perfil e SSP no formato OSCAL

  • Versão de lançamento: Xanadu
  • Atualizado 7 de ago. de 2024
  • 3 min. de leitura

    • CAM é compatível com a OSCAL (Open Security Controls Assessment Language, Linguagem de avaliação de controles de segurança aberta) usada pelo National Institute of Standards and Technology (NIST), que fornece informações relacionadas ao controle em formatos padronizados legíveis por máquina. CAM é compatível com modelos de Catálogo, Perfil e SSP.

    Exportando SSP no CAM

    Com CAM, você pode gerar modelos de Catálogo, Perfil, Plano de segurança do sistema (SSP) e exportar o seguinte:
    Catálogo
    De acordo com o NIST, o modelo de catálogo fornece uma representação estruturada e legível por máquina de um catálogo de controles. Portanto, como parte do modelo de catálogo, usando CAM, é possível exportar as seguintes informações relacionadas ao controle:
    • Objetivos de controle: são mapeados para controles. O campo de referência em um objetivo de controle é mapeado para o controle do NIST. Os requisitos de um mapa de objetivo de controle para as declarações de controle do NIST. Portanto, cada parte do campo Descrição em um objetivo de controle se alinha com a subparte do controle do NIST.
    • Requisitos de objetivo de controle: declarações ou requisitos de controle que são detalhados a partir da descrição de um objetivo de controle.
    • Modelos de teste: testes feitos em controles. Cada controle tem pelo menos um modelo de teste, que tem um objetivo de avaliação.
    • Procedimentos de avaliação: são objetivos de avaliação de um modelo de teste ou dos testes feitos em controles.

    Exporte ações de IU OSCAL.

    Catálogo de sobreposição
    Controles de sobreposição: são políticas que consistem em objetivos de controle e não fazem parte do NIST, mas podem estar em um pacote de autorização. Portanto, eles são exportados como um arquivo separado.
    Perfil
    De acordo com o NIST, o modelo de perfil fornece uma representação estruturada e legível por máquina de uma linha de base. O modelo de perfil também representa uma linha de base de controles selecionados de um ou mais catálogos de controle.

    Controles de linha de base: pequeno conjunto de objetivos de controle que são preenchidos automaticamente com base no impacto. O impacto é decidido com base no tipo de informação de um pacote de autorização.

    • Include-controls: são controles de linha de base que fazem parte do pacote de autorização.
    • Exclude-controls: são controles de linha de base que foram marcados como Não aplicável.

    O perfil consiste em Catálogo e Catálogo de sobreposição.

    Plano de segurança do sistema (SSP)
    De acordo com o NIST, o modelo OSCAL SSP permite que um proprietário do sistema expresse a implementação do sistema de um sistema da informação dentro do contexto de uma linha de base específica ou perfil OSCAL. Ou representa uma descrição da implementação de controle de um sistema da informação.
    • Limite de autorização: um limite de autorização define o escopo de um sistema específico que pode ser gerenciado e monitorado continuamente usando a aplicação CAM.
    • Pacote de autorização: criado com a finalidade de processar os ativos ou sistemas por meio das sete etapas exigidas pelo RMF. Para obter mais informações, consulte NIST RMF visão geral do processo.
    • Tipo de informação: o tipo de informação define o nível de impacto do pacote, que se baseia na criticidade do sistema da informação definido na etapa Categorizar.
    • Controle: quando os objetivos de controle são movidos para o estado Implementação, eles se tornam controles.
    • Requisito de controle: quando os objetivos de controle são movidos para o estado de Implementação, eles se tornam controles. Da mesma forma, os requisitos de objetivo de controle são convertidos em requisito de controle.
    • Controle herdado: controles que são totalmente herdados do pacote de autorização primário. Em seguida, isso significa que todos os requisitos de controle de cada um desses controles também são herdados completamente.
    • Controle híbrido: são parcialmente herdados do pacote de autorização primário.

    Tabelas de origem para buscar dados para os modelos

    Tabela de origem Propriedade JSON
    Catálogo
    Objetivo do controle controles
    Objetivo de controle para requisito de objetivo de controle partes de declarações
    Modelo de teste do procedimento de avaliação partes do objetivo da avaliação
    Objetivo de Controle orientação
    Modelo de Teste Método de avaliação (Examinar)
    Modelo de Teste Método de avaliação (entrevista)
    Perfil
    Controle de linha de base Incluir controles
    Controle de linha de base Excluir-controles
    PSS
    Limite de autorização componentes
    Pacote de autorização autorização-alavancada
    Limite de autorização nível de impacto na segurança
    Requisito de controle declarações
    Limite de autorização por componentes
    Tipo de informação Tipos de informação