CAM OSCAL
OSCAL(Open Security Controls Assessment Language)은 제어 관련 정보를 표현하는 표준화된 방법을 제공하여 IT 보안의 상호 운용성, 일관성 및 자동화를 지원합니다. JSON 형식만 지원합니다. CAM 는 OSCAL 버전 1.1.2를 지원합니다.
OSCAL은 NIST(National Institute of Standards and Technology)에서 개발한 머신 판독 가능 형식 세트입니다. 보안 통제 평가, 규정 준수 보고 및 위험 관리 프로세스의 자동화를 지원하도록 설계되었습니다.
CAM은 카탈로그 및 SSP(시스템 보안 계획) 모델 모두에 대한 OSCAL 데이터의 익스포트 및 임포트를 지원합니다.
CAM 지원되는 OSCAL 모델
CAM OSCAL은 다음 모델을 지원합니다.
- 카탈로그
- NIST에 따르면 카탈로그 모델은 제어 카탈로그의 구조화되고 기계가 읽을 수 있는 표현을 제공합니다. 따라서 카탈로그 모델의 CAM 일부로 다음과 같은 컨트롤 관련 정보를 얻을 수 있습니다.
- 통제 목표: 통제에 매핑됩니다. 통제 목표의 참조 필드는 NIST 통제에 매핑됩니다. 통제 목표의 요구 사항은 NIST의 통제 설명에 매핑됩니다. 따라서 통제 목표에 있는 설명 필드의 각 부분은 NIST 통제의 하위 부분과 일치합니다. 각 통제 목표의 하위 통제 목표는 통제 필드에 매핑됩니다. 통제 목표의 관련 통제 목표가 링크 필드에 매핑됩니다.
- 통제 목표 요구 사항: 통제 목표의 설명에서 추가로 세분화된 설명 또는 통제 요구 사항입니다.
- 테스트 템플릿: 컨트롤에 대해 수행된 테스트입니다. 각 통제에는 하나의 평가 목표가 있는 하나 이상의 테스트 템플릿이 있습니다.
- 평가 절차: 테스트 템플릿의 평가 목표 또는 통제에 대해 수행된 테스트입니다.
- 오버레이 카탈로그
- 오버레이 통제: 통제 목표로 구성되고 NIST의 일부는 아니지만 권한 부여 패키지에 포함될 수 있는 정책입니다.
- 프로파일
- NIST에 따르면 프로필 모델은 구조화되고 기계가 읽을 수 있는 기준선 표현을 제공합니다. 또한 프로필 모델은 하나 이상의 컨트롤 카탈로그에서 선택한 컨트롤의 기준선을 나타냅니다.
기준선 통제: 영향에 따라 자동으로 채워지는 작은 통제 목표 세트입니다. 영향은 권한 부여 패키지의 정보 유형에 따라 결정됩니다.
- 포함 통제: 권한 부여 패키지의 일부인 기준선 통제입니다.
- 제외-통제: 해당 없음으로 표시된 기준선 통제입니다.
프로파일은 카탈로그와 오버레이 카탈로그로 구성됩니다.
- SSP(시스템 보안 계획)
- NIST에 따르면 OSCAL SSP 모델을 사용하면 시스템 소유자가 특정 기준선 또는 OSCAL 프로필의 컨텍스트 내에서 정보 시스템의 시스템 구현을 표현할 수 있습니다. 또는 정보 시스템의 제어 구현에 대한 설명을 나타냅니다.
- 권한 부여 범위: 권한 부여 범위는 애플리케이션을 사용하여 CAM 지속적으로 관리하고 모니터링할 수 있는 특정 시스템의 범위를 정의합니다.
- 권한 부여 패키지: RMF에서 요구하는 7단계를 통해 자산 또는 시스템을 처리하기 위해 생성됩니다. 자세한 내용은 NIST RMF 프로세스 개요 문서를 참조하십시오.
- 정보 유형: 정보 유형은 범주화 단계에서 정의된 정보 시스템의 중요도를 기반으로 패키지의 영향 수준을 정의합니다.
- 통제: 통제 목표가 구현 상태로 이동하면 통제가 됩니다.
- 통제 요구 사항: 통제 목표가 구현 상태로 이동하면 통제가 됩니다. 이에 따라 통제 목표 요구 사항은 통제 요구 사항으로 변환됩니다.
- 상속된 통제: 상위 권한 부여 패키지에서 완전히 상속된 통제입니다. 그러면 이러한 각 제어의 모든 제어 요구 사항도 완전히 상속됩니다.
- 하이브리드 제어: 부모 권한 부여 패키지에서 부분적으로 상속됩니다.