NIST RMF 지원 개념
지침에서 NIST RMF 개발된 이러한 개념을 숙지하십시오.
주:
버전 10.1.0부터는 NIST RMF Use Case Accelerator 현재 제품을 사용하는 고객에게만 지원됩니다. 신규 및 기존 고객은 GRC: Continuous Authorization Monitoring 애플리케이션 사용을 고려해야 합니다. 자세한 내용은 지속적 인증 및 모니터링.
| 개념 | 설명 |
|---|---|
| 대상 | 대상은 모든 관련 개념의 NIST RMF Use Case Accelerator 기초입니다. 대상은 제품과 ServiceNow® GRC 여러 사용 사례 액셀러레이터 간의 공유 테이블입니다. 핵심 애플리케이션의 GRC 프로파일 개념과 유사합니다. 선택적으로 프로파일에 연결되지만 사용 사례 액셀러레이터와 관련된 모든 속성에 사용됩니다. 주: 각 NIST RMF 대상은 RMF 라이프사이클 전체에서 단일 프로파일을 고유하게 나타냅니다. |
| 기밀성(C) | 기밀성은 대상의 보안 목표이며, 개인 정보 및 독점 정보를 보호하기 위한 수단을 포함하여 정보 액세스 및 공개에 대해 승인된 제한을 유지하는 행위로 정의됩니다. 기밀성은 높음, 보통 및 낮음 값으로 표현됩니다 |
| 무결성(I) | 무결성은 대상의 보안 목표이며 부적절한 정보 수정 또는 파기로부터 보호하는 행위로 정의되며 정보 거부 방지 및 신뢰성 보장을 포함합니다. 무결성은 높음, 보통 및 낮음 값으로 표현됩니다 |
| 가용성(A) | 가용성은 대상의 보안 목표이며 정보에 대한 시기적절하고 안정적인 액세스와 사용을 보장하는 행위로 정의됩니다. 가용성은 높음, 보통 및 낮음 값으로 표현됩니다 |
| 기준선 통제 | 기준선 통제는 NIST(국립표준기술연구소)에서 권장하는 보안 통제 세트로, 구현되고 효과적인 것으로 판단되면 보안 요구 사항을 준수하면서 보안 위험을 완화할 수 있습니다. 기준선 통제에는 높음, 보통 또는 낮음 값의 조합인 지정된 영향 값이 있습니다. |
| 영향 분석 | 영향 분석은 대상 또는 대상 운영 환경에 대해 제안된 변경 또는 실제 변경 사항이 대상의 보안 상태에 영향을 미칠 수 있거나 영향을 미칠 수 있는 정도를 결정합니다. 세 가지 CIA 보안 목표가 모두 낮음으로 평가되는 대상은 저영향으로 간주되고 낮은 영향 값으로 태그가 지정된 보안 통제를 사용합니다. 마찬가지로 세 가지 CIA 보안 목표 중 어느 것이든 보통으로 평가되는 대상은 보통 영향으로 간주되고 보통 영향 값으로 태그가 지정된 보안 통제를 사용합니다. 마찬가지로 세 가지 CIA 보안 목표 중 하나라도 높음으로 평가되는 대상은 높은 영향으로 간주되고 높은 영향 가치로 태그가 지정된 보안 통제를 사용합니다. |
| 보증 | 보증 통제는 보안의 강도와 대상의 기능이 정확하고 완전하며 일관되며 보안 위험을 완화하고 보안 요구 사항을 준수하는 데 도움이 된다는 신뢰도를 모두 높입니다. |
| 일반 | 일반 통제는 하나 이상의 대상에서 상속할 수 있는 통제입니다. |
| 보상 | 보상 통제는 권장되는 기준선 보안 통제 대신 사용할 수 있으며 대상에 대해 동등하거나 유사한 보호를 제공하는 통제입니다. |
| 보조 | 보조적 통제는 대상의 위험 관리 요구를 적절하게 충족하기 위해 추가 보안 통제로 사용할 수 있는 통제입니다. |
| 재봉 | 맞춤화는 다음을 기반으로 보안 통제 기준선을 수정하는 프로세스입니다. (i) 대상 범위 지정 지침; (ii) 필요한 경우 보상과 같은 보안 통제 사양; (iii) 조직 사양 - 명시적 할당 및 선택 설명을 통해 보안 통제에 정의된 매개변수 |