NIST RMF 지원 개념
지침에서 NIST RMF 개발된 이러한 개념을 숙지하십시오.
주:
버전 10.1.0부터는 NIST RMF Use Case Accelerator 현재 제품을 사용하는 고객에 대해서만 지원됩니다. 신규 및 기존 고객은 GRC: 지속적인 인증 모니터링 애플리케이션 사용을 고려해야 합니다. 자세한 내용은 . 지속적 인증 및 모니터링
| 개념 | 설명 |
|---|---|
| 대상 | 대상은 및 모든 관련 개념의 NIST RMF Use Case Accelerator 기초입니다. 대상은 제품과 여러 사용 사례 액셀러레이터 간의 ServiceNow® GRC 공유 테이블입니다. 이는 핵심 GRC 애플리케이션의 프로파일 개념과 유사합니다. 선택적으로 프로파일에 연결되지만 사용 사례 액셀러레이터와 관련된 모든 속성에 사용됩니다. 주: 각 NIST RMF 대상은 RMF 수명주기 동안 단일 프로필을 고유하게 나타냅니다. |
| 기밀성(C) | 기밀성은 Target의 보안 목표이며, 개인 정보 및 독점 정보를 보호하기 위한 수단을 포함하여 정보 액세스 및 공개에 대한 승인된 제한을 유지하는 행위로 정의됩니다. 기밀성은 높음, 보통 및 낮음 값으로 표현됩니다 |
| 무결성(I) | 무결성은 대상의 보안 목표이며 부적절한 정보 수정 또는 파기로부터 보호하는 행위로 정의되며 정보 거부 방지 및 진위 보장을 포함합니다. 무결성은 높음, 보통 및 낮음 값으로 표현됩니다 |
| 가용성(A) | 가용성은 Target의 보안 목표이며 정보에 대한 시기적절하고 안정적인 액세스 및 사용을 보장하는 행위로 정의됩니다. 가용성은 높음, 보통 및 낮음 값으로 표현됩니다. |
| 기준선 통제 | 기준선 통제는 NIST(National Institute of Standards and Technology)에서 권장하는 보안 통제 세트로, 구현되고 효과적인 것으로 확인되면 보안 요구 사항을 준수하면서 보안 위험을 완화할 수 있습니다. 기준선 통제에는 높음, 보통 또는 낮음 값이 조합된 지정된 영향 값이 있습니다. |
| 영향 분석 | 영향 분석은 대상 또는 대상 운영 환경에 대해 제안된 변경 또는 실제 변경 사항이 대상의 보안 상태에 영향을 미치거나 영향을 미칠 수 있는 정도를 결정합니다. 세 가지 CIA 보안 목표가 모두 낮음으로 평가되는 대상은 영향이 적은 것으로 간주되며 영향도가 낮음으로 태그가 지정된 보안 통제를 사용합니다. 마찬가지로, 세 가지 CIA 보안 목표 중 어느 하나라도 보통으로 평가되는 대상은 보통 영향으로 간주되며 보통 영향 값으로 태그가 지정된 보안 통제를 사용합니다. 마찬가지로 세 가지 CIA 보안 목표 중 하나라도 높음으로 평가되는 대상은 높은 영향으로 간주되고 높은 영향 값으로 태그가 지정된 보안 통제 중 하나를 사용합니다. |
| 보증 | 보증 통제는 보안 강도와 Target의 기능이 올바르고 완전하며 일관되며 보안 위험을 완화하고 보안 요구 사항을 준수하는 데 도움이 된다는 신뢰도를 높입니다 |
| 일반 | 일반 통제는 하나 이상의 대상에서 상속할 수 있는 통제입니다 |
| 보상 | 보상 통제는 권장 기준선 보안 통제 대신 사용할 수 있으며 대상에 동등하거나 동등한 보호를 제공하는 통제입니다. |
| 보조 | 보조 통제는 대상의 위험 관리 요구를 적절히 충족하기 위해 추가 보안 통제로 사용할 수 있는 통제입니다. |
| 조정 | 조정은 보안 통제 기준선이 다음을 기반으로 수정되는 프로세스입니다: (i) 대상 범위 지정 지침; (ii) 보안 통제의 지정(예: 필요한 경우 보상) (iii) 조직의 사양 - 명시적 할당 및 선택 진술을 통해 보안 통제에 정의된 매개변수 |