Katalog, Profil und SSP werden im OSCAL-Format exportiert

  • Freigeben Version: Xanadu
  • Aktualisiert 7. August 2024
  • 2 Minuten Lesedauer

    • CAM unterstützt die vom National Institute of Standards and Technology (NIST) verwendete Open Security Controls Assessment Language (OSCAL), die steuerungsbezogene Informationen in standardisierten maschinenlesbaren Formaten bereitstellt. CAM Der Katalog unterstützt die Profile- und SSP-Modelle.

    SSP wird in exportiert CAM

    Mit CAMkönnen Sie Katalog-, Profil- und SSP-Modelle (System Security Plan) generieren und Folgendes exportieren:
    Katalog
    Laut NIST bietet das Katalogmodell eine strukturierte, maschinenlesbare Darstellung eines Katalogs von Steuerungen. Daher können Sie als Teil des Katalogmodells mit CAM die folgenden steuerungsbezogenen Informationen exportieren:
    • Kontrollziele: Diese sind Steuerungen zugeordnet. Das Referenzfeld in einem Kontrollziel ist der NIST-Steuerung zugeordnet. Die Anforderungen eines Steuerungsziels werden den Anweisungen der NIST-Steuerung zugeordnet. Daher wird jeder Teil des Beschreibungsfelds in einem Kontrollziel mit dem Unterteil der NIST-Steuerung übereinstimmen.
    • Steuerungsziel-Anforderungen: Anweisungen oder Steuerungsanforderungen, die anhand der Beschreibung eines Steuerungsziels weiter aufgeschlüsselt werden.
    • Testvorlagen: Tests, die für Steuerungen durchgeführt werden. Jede Steuerung verfügt über mindestens eine Testvorlage, die ein Bewertungsziel verfolgt.
    • Bewertungsverfahren: Dies sind Bewertungsziele einer Testvorlage oder der Tests, die für Steuerungen durchgeführt werden.

    Exportieren Sie OSCAL UI-Aktionen.

    Überlagerungskatalog
    Überlagerungssteuerungen: Dies sind Richtlinien, die aus Kontrollzielen bestehen und nicht Teil des NIST sind, aber in einem Autorisierungspaket enthalten sein können. Daher werden diese als separate Datei exportiert.
    Profil
    Laut NIST bietet das Profilmodell eine strukturierte, maschinenlesbare Darstellung einer Baseline. Das Profilmodell stellt auch eine Baseline ausgewählter Steuerungen aus einem oder mehreren Steuerungskatalogen dar.

    Baseline-Steuerungen: Kleiner Satz von Kontrollzielen, die basierend auf der Auswirkung automatisch ausgefüllt werden. Die Auswirkung wird basierend auf dem Informationstyp eines Autorisierungspakets entschieden.

    • Include-Steuerungen: Dies sind Baseline-Steuerungen, die Teil des Autorisierungspakets sind.
    • Exclude-controls: Dies sind Baseline-Steuerungen, die als Nicht zutreffend markiert wurden.

    Das Profil besteht aus einem Katalog und einem Überlagerungskatalog.

    Systemsicherheitsplan (SSP)
    Laut NIST ermöglicht das OSCAL SSP-Modell einem Systembesitzer, die Systemimplementierung eines Informationssystems im Kontext einer bestimmten Baseline oder eines bestimmten OSCAL-Profils auszudrücken. Oder es stellt eine Beschreibung der Steuerungsimplementierung eines Informationssystems dar.
    • Autorisierungsgrenze: Eine Autorisierungsgrenze definiert den Umfang eines bestimmten Systems, das mit der Anwendung CAM kontinuierlich verwaltet und überwacht werden kann.
    • Autorisierungspaket: Wird zum Zweck der Verarbeitung der Assets oder Systeme durch die sieben vom RMF vorgeschriebenen Schritte erstellt. Weitere Informationen finden Sie unter NIST RMF Prozessübersicht.
    • Informationstyp: Der Informationstyp definiert die Auswirkungsebene des Pakets, die auf der Relevanz des im Schritt Kategorisieren definierten Informationssystems basiert.
    • Steuerung: Wenn Steuerungsziele in den Status „Implementierung“ wechseln, werden sie zu Steuerungen.
    • Steuerungsanforderung: Wenn Steuerungsziele in den Status „Implementierung“ wechseln, werden sie zu Steuerungen. Entsprechend werden die Steuerungsziel-Anforderungen in Steuerungsanforderungen konvertiert.
    • Geerbte Steuerung: Steuerungen, die vollständig vom übergeordneten Autorisierungspaket übernommen werden. Dann bedeutet dies, dass alle Steuerungsanforderungen jeder solchen Steuerung ebenfalls vollständig geerbt werden.
    • Hybridsteuerung: Diese werden teilweise vom übergeordneten Autorisierungspaket geerbt.

    Quelltabellen zum Abrufen von Daten für die Modelle

    Quelltabelle JSON-Eigenschaft
    Katalog
    Kontrollziel Steuerungen
    Steuerungsziel für Steuerungsziel-Anforderung Anweisungsteile
    Testvorlage zu Bewertungsverfahren Bewertungszielteile
    Kontrollziel Leitfaden
    Testvorlage Bewertungsmethode (Untersuchen)
    Testvorlage Bewertungsmethode (Interview)
    Profil
    Baseline-Steuerung Include-Steuerungen
    Baseline-Steuerung Ausschluss-Steuerungen
    SSP
    Autorisierungsgrenze Komponenten
    Autorisierungspaket nutzt-Autorisierung
    Autorisierungsgrenze security-impact-level
    Steuerungsanforderung Anweisungen
    Autorisierungsgrenze by-components
    Informationstyp Informationstypen