카탈로그, 프로필 및 SSP를 OSCAL 형식으로 내보내기

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 07일
  • 소요 시간: 3분

    • CAM 는 NIST(National Institute of Standards and Technology)에서 사용하는 OSCAL(Open Security Controls Assessment Language)을 지원하며, 표준화된 기계 판독 가능 형식으로 제어 관련 정보를 제공합니다. CAM 는 카탈로그, 프로필 및 SSP 모델을 지원합니다.

    에서 SSP 익스포트 CAM

    를 사용하여 CAM카탈로그, 프로파일, SSP(시스템 보안 계획) 모델을 생성하고 다음을 내보낼 수 있습니다.
    카탈로그
    NIST에 따르면 카탈로그 모델은 제어 카탈로그의 구조화되고 기계 판독 가능한 표현을 제공합니다. 따라서 카탈로그 모델의 일부로 다음을 사용하여 CAM 다음과 같은 컨트롤 관련 정보를 익스포트할 수 있습니다.
    • 통제 목표: 통제에 매핑됩니다. 통제 목표의 참조 필드는 NIST 통제에 매핑됩니다. 통제 목표의 요구사항은 NIST 통제의 명령문에 매핑됩니다. 따라서 통제 목표에 있는 설명 필드의 각 부분은 NIST 통제의 하위 부분과 일치합니다.
    • 통제 목표 요구 사항: 통제 목표의 설명에서 추가로 세분화된 설명 또는 통제 요구 사항입니다.
    • 테스트 템플릿: 컨트롤에 대해 수행된 테스트입니다. 각 통제에는 평가 목표가 하나 이상 있는 테스트 템플릿이 하나 이상 있습니다.
    • 평가 절차: 테스트 템플릿의 평가 목표 또는 통제에 대해 수행된 테스트입니다.

    OSCAL UI 작업을 익스포트합니다.

    오버레이 카탈로그
    오버레이 통제: 통제 목표로 구성되고 NIST의 일부가 아니지만 권한 부여 패키지에 포함될 수 있는 정책입니다. 따라서 별도의 파일로 내보내집니다.
    프로파일
    NIST에 따르면 프로파일 모델은 기준선의 구조화되고 기계 판독 가능한 표현을 제공합니다. 프로파일 모델은 하나 이상의 통제 카탈로그에서 선택한 통제의 기준선을 나타내기도 합니다.

    기준선 통제: 영향에 따라 자동으로 채워지는 작은 통제 목표 세트입니다. 영향은 권한 부여 패키지의 정보 유형에 따라 결정됩니다.

    • Include-controls: 권한 부여 패키지의 일부인 베이스라인 컨트롤입니다.
    • 제외 통제: 이는 해당 사항 없음으로 표시된 기준선 통제입니다.

    프로파일은 카탈로그와 오버레이 카탈로그로 구성됩니다.

    SSP(시스템 보안 계획)
    NIST에 따르면 OSCAL SSP 모델을 사용하면 시스템 소유자가 특정 기준 또는 OSCAL 프로필의 컨텍스트 내에서 정보 시스템의 시스템 구현을 표현할 수 있습니다. 또는 정보 시스템의 제어 구현에 대한 설명을 나타냅니다.
    • 권한 부여 경계: 권한 부여 경계는 애플리케이션을 사용하여 CAM 지속적으로 관리하고 모니터링할 수 있는 특정 시스템의 범위를 정의합니다.
    • 권한 부여 패키지: RMF에서 요구하는 7단계를 통해 자산 또는 시스템을 처리하기 위해 생성됩니다. 자세한 내용은 NIST RMF 프로세스 개요 문서를 참조하십시오.
    • 정보 유형: 정보 유형은 범주화 단계에 정의된 정보 시스템의 중요도를 기반으로 패키지의 영향 수준을 정의합니다.
    • 통제: 통제 목표가 구현 상태로 이동하면 통제가 됩니다.
    • 통제 요구 사항: 통제 목표가 구현 상태로 이동하면 통제가 됩니다. 이에 따라 통제 목표 요구 사항은 통제 요구 사항으로 변환됩니다.
    • 상속된 통제: 상위 인증 패키지에서 완전히 상속된 통제입니다. 그런 다음 이러한 각 제어의 모든 제어 요구 사항도 완전히 상속됨을 의미합니다.
    • 하이브리드 통제: 이들은 상위 권한 부여 패키지에서 부분적으로 상속됩니다.

    모델에 대한 데이터를 가져올 소스 테이블

    소스 테이블 JSON 속성
    카탈로그
    컨트롤 목적 컨트롤
    통제 목표에서 통제 목표 요구 사항으로 명세서 파트
    평가 절차에 대한 테스트 템플릿 평가 목표 파트
    통제 목표 지침
    테스트 템플릿 평가 방법(검사)
    테스트 템플릿 평가방법(면접)
    프로파일
    기준선 통제 포함 통제
    기준선 통제 제외 통제
    SSP
    권한 부여 범위 구성요소
    권한 부여 패키지 레버리지 권한 부여
    권한 부여 범위 보안 영향 수준
    통제 요구 사항 문을
    권한 부여 범위 구성요소별
    정보 유형 정보 유형