CAM OSCAL
OSCAL(Open Security Controls Assessment Language)은 통제 관련 정보를 표현하는 표준화된 방법을 제공하여 IT 보안의 상호 운용성, 일관성 및 자동화를 지원합니다. JSON 형식만 지원합니다. CAM 는 OSCAL 버전 1.1.2를 지원합니다.
OSCAL은 NIST(National Institute of Standards and Technology)에서 개발한 기계 읽기 가능 형식 세트입니다. 보안 통제 평가, 규정 준수 보고, 위험 관리 프로세스의 자동화를 지원하도록 설계되었습니다.
CAM은 카탈로그 및 SSP(시스템 보안 계획) 모델 모두에 대한 OSCAL 데이터의 익스포트 및 임포트를 지원합니다.
CAM 지원되는 OSCAL 모델
CAM OSCAL은 다음 모델을 지원합니다.
- 카탈로그
- NIST에 따르면 카탈로그 모델은 통제 카탈로그의 구조화되고 기계가 읽을 수 있는 표현을 제공합니다. 따라서 카탈로그 모델의 일부로서 다음을 사용하여 CAM 다음과 같은 통제 관련 정보를 얻을 수 있습니다.
- 통제 목표: 통제에 매핑됩니다. 통제 목표의 참조 필드는 NIST 통제에 매핑됩니다. 통제 목표의 요구 사항은 NIST의 통제 설명에 매핑됩니다. 따라서 통제 목표에 있는 설명 필드의 각 부분은 NIST 통제의 하위 부분과 맞춰집니다. 각 통제 목표의 하위 통제 목표는 통제 필드에 매핑됩니다. 통제 목표의 관련 통제 목표가 링크 필드에 매핑됩니다.
- 통제 목표 요구 사항: 통제 목표의 설명에서 추가로 세분화된 문 또는 통제 요구 사항입니다.
- 테스트 템플릿: 통제에서 수행된 테스트입니다. 각 통제에는 하나 이상의 테스트 템플릿이 있으며, 이 템플릿에는 하나의 평가 목표가 있습니다.
- 평가 절차: 테스트 템플릿 또는 통제에 대해 수행된 테스트의 평가 목표입니다.
- 오버레이 카탈로그
- 오버레이 통제: 통제 목표로 구성되고 NIST의 일부는 아니지만 권한 부여 패키지에 포함될 수 있는 정책입니다.
- 프로필
- NIST에 따르면 프로필 모델은 기준선의 구조화되고 기계가 읽을 수 있는 표현을 제공합니다. 프로파일 모델은 하나 이상의 통제 카탈로그에서 선택한 통제의 기준선도 나타냅니다.
기준선 통제: 영향에 따라 자동으로 채워지는 소규모 통제 목표 집합입니다. 영향은 권한 부여 패키지의 정보 유형에 따라 결정됩니다.
- 포함-통제: 권한 부여 패키지의 일부인 기준선 통제입니다.
- 제외-통제: 적용 불가로 표시된 기준선 통제입니다.
프로파일은 카탈로그와 오버레이 카탈로그로 구성됩니다.
- 시스템 보안 계획(SSP)
- NIST에 따르면 OSCAL SSP 모델을 사용하면 시스템 소유자가 특정 기준선 또는 OSCAL 프로필의 컨텍스트 내에서 정보 시스템의 시스템 구현을 표현할 수 있습니다. 또는 정보 시스템의 제어 구현에 대한 설명을 나타냅니다.
- 권한 부여 범위: 권한 부여 범위는 애플리케이션을 사용하여 지속적으로 관리하고 모니터링할 수 있는 특정 시스템의 범위를 정의합니다.CAM
- 권한 부여 패키지: RMF에서 요구하는 7단계를 통해 자산 또는 시스템을 처리하기 위해 작성됩니다. 자세한 내용은 NIST RMF 프로세스 개요 문서를 참조하십시오.
- 정보 유형: 정보 유형은 범주화 단계에 정의된 정보 시스템의 중요도를 기반으로 패키지의 영향 수준을 정의합니다.
- 통제: 통제 목표가 구현 상태로 이동하면 통제가 됩니다.
- 통제 요구 사항: 통제 목표가 구현 상태로 이동하면 통제가 됩니다. 이에 따라 통제 목표 요구 사항은 통제 요구 사항으로 변환됩니다.
- 상속된 통제: 상위 권한 부여 패키지에서 완전히 상속된 통제입니다. 그러면 이러한 각 제어의 모든 제어 요구 사항도 완전히 상속된다는 의미입니다.
- 하이브리드 통제: 상위 권한 부여 패키지에서 부분적으로 상속됩니다.