CAM OSCAL

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • A Linguagem de Avaliação de Controles de Segurança Aberta (OSCAL) fornece uma maneira padronizada de expressar informações relacionadas ao controle, permitindo interoperabilidade, consistência e automação na segurança de TI. Ele oferece suporte somente ao formato JSON. CAM é compatível com OSCAL versão 1.1.2.

    OSCAL é um conjunto de formatos legíveis por máquina desenvolvido pelo National Institute of Standards and Technology (NIST). Ele foi projetado para oferecer suporte à automação de avaliações de controle de segurança, relatórios de conformidade e processos de gestão de riscos.

    O CAM oferece suporte à exportação e importação de dados OSCAL para os modelos de catálogo e plano de segurança do sistema (SSP).

    CAM modelos OSCAL compatíveis

    CAM OSCAL é compatível com os seguintes modelos:
    Catálogo
    De acordo com o NIST, o modelo de catálogo fornece uma representação estruturada e legível por máquina de um catálogo de controles. Portanto, como parte do modelo de catálogo, usando CAM, você pode obter as seguintes informações relacionadas ao controle:
    • Objetivos de controle: são mapeados para controles. O campo de referência em um objetivo de controle é mapeado para o controle do NIST. Os requisitos de um mapa de objetivo de controle para as declarações de controle do NIST. Portanto, cada parte do campo Descrição em um objetivo de controle se alinha com a subparte do controle do NIST. Os objetivos de controle secundários de cada objetivo de controle são mapeados para o campo de controle. Os objetivos de controle relacionados do objetivo de controle são mapeados para o campo de links.
    • Requisitos de objetivo de controle: declarações ou requisitos de controle que são detalhados a partir da descrição de um objetivo de controle.
    • Modelos de teste: testes feitos em controles. Cada controle tem pelo menos um modelo de teste, que tem um objetivo de avaliação.
    • Procedimentos de avaliação: são objetivos de avaliação de um modelo de teste ou dos testes feitos em controles.
    Catálogo de sobreposição
    Controles de sobreposição: são políticas que consistem em objetivos de controle e não fazem parte do NIST, mas podem estar em um pacote de autorização.
    Perfil
    De acordo com o NIST, o modelo de perfil fornece uma representação estruturada e legível por máquina de uma linha de base. O modelo de perfil também representa uma linha de base de controles selecionados de um ou mais catálogos de controle.

    Controles de linha de base: pequeno conjunto de objetivos de controle que são preenchidos automaticamente com base no impacto. O impacto é decidido com base no tipo de informação de um pacote de autorização.

    • Include-controls: são controles de linha de base que fazem parte do pacote de autorização.
    • Exclude-controls: são controles de linha de base que foram marcados como Não aplicável.

    O perfil consiste em Catálogo e Catálogo de sobreposição.

    Plano de segurança do sistema (SSP)
    De acordo com o NIST, o modelo OSCAL SSP permite que um proprietário do sistema expresse a implementação do sistema de um sistema da informação dentro do contexto de uma linha de base específica ou perfil OSCAL. Ou representa uma descrição da implementação de controle de um sistema da informação.
    • Limite de autorização: um limite de autorização define o escopo de um sistema específico que pode ser gerenciado e monitorado continuamente usando a aplicação CAM.
    • Pacote de autorização: criado com a finalidade de processar os ativos ou sistemas por meio das sete etapas exigidas pelo RMF. Para obter mais informações, consulte NIST RMF visão geral do processo.
    • Tipo de informação: o tipo de informação define o nível de impacto do pacote, que se baseia na criticidade do sistema da informação definido na etapa Categorizar.
    • Controle: quando os objetivos de controle são movidos para o estado Implementação, eles se tornam controles.
    • Requisito de controle: quando os objetivos de controle são movidos para o estado de Implementação, eles se tornam controles. Da mesma forma, os requisitos de objetivo de controle são convertidos em requisito de controle.
    • Controle herdado: controles que são totalmente herdados do pacote de autorização primário. Em seguida, isso significa que todos os requisitos de controle de cada um desses controles também são herdados completamente.
    • Controle híbrido: são parcialmente herdados do pacote de autorização primário.