통제를 생성하고 요구 사항을 구현하기 위한 기준선 통제 설정

릴리스 버전: Washingtondc

업데이트 날짜 2024년 02월 01일

읽기5분

기준 통제를 사용하여 통제를 상속하거나, 통제를 공통으로 표시하거나, 하이브리드 통제를 생성합니다. 하이브리드 통제를 만들어 일반 통제에서 요구 사항을 부분적으로 상속하고, 나머지 요구 사항은 기준선 통제에서 생성된 통제에 대해 생성됩니다.

시작하기 전에

필요한 역할: sn_irm_cont_auth.system_owner, sn_irm_cont_auth.info_system_sec_officer

이 태스크 정보

하이브리드 통제는 일반 통제에서 부분적인 요구 사항을 상속할 수 있는 기능을 제공할 뿐만 아니라 해당 통제에 대한 나머지 요구 사항을 자체 구현하면서 공통 통제 요구 사항을 최대한 활용할 수 있는 유연성을 제공합니다.

NIST 800-53-r5에서 가져온 통제 목표에서 통제를 상속하는 방법에는 CAM 두 가지가 있습니다.

전체 상속

제어는 직접적이고 완전하게 상속됩니다. 예를 들어 공통 제공자인 건물 A가 화재 예방이라는 통제 목표를 제공하고 이 통제 목표에 화재 경보, 연기 탐지 및 살수라는 약 3가지 요구 사항이 있는 경우 통제는 공통 통제로 식별하여 직접 상속됩니다.

주:

하나의 권한 부여 패키지와 연결된 컨트롤은 컨트롤이 권한 부여 패키지에서 공용 제어 공급자로 표시되고 해당 특정 패키지가 모니터 상태여야 하는 경우 다른 권한 부여 패키지에 대한 공통 공급자가 될 수 있습니다. 그런 다음에만 일반 컨트롤로 호출됩니다.

하이브리드 상속

제어는 부분적으로 상속됩니다. 이 경우 컨트롤의 요구 사항 중 하나 또는 몇 개만 상속됩니다. 앞의 예를 고려할 때 하이브리드 상속은 다음과 같은 조합으로 사용할 수 있습니다.

화재 경보와 같은 요구 사항 중 하나는 건물 A에서 상속할 수 있고 다른 두 요구 사항은 자체 구현할 수 있습니다.
화재 경보와 같은 요구 사항 중 하나는 건물 A에서 상속될 수 있고 연기 감지와 같은 다른 요구 사항은 건물 B에서 상속될 수 있습니다. 나머지는 자체 구현할 수 있습니다.
모든 요구 사항은 상속됩니다. 이 상속은 요구 사항 중 하나 이상을 상속해야 하고 자체 구현해야 하므로 부분 상속이 아닙니다. 따라서 이 상속을 하이브리드 상속이라고 할 수 없습니다.

주:

권한 부여 패키지의 역할과 책임은 권한 부여 패키지가 한 상태에서 다른 상태로 이동할 때 승인 패키지를 검토하고 승인해야 하는 권한 부여 공무원(AO)에게 할당되어야 합니다. ISSO(정보 시스템 보안 책임자)는 이러한 제어 목표를 NIST에서 제공하므로 일반 컨트롤을 표시하거나, 하이브리드 컨트롤을 만들거나, 해당 컨트롤을 적용할 수 없는 것으로 식별해야 합니다. AO(Authorization Official)가 승인을 제공하면 권한 부여 패키지가 Implement(구현) 상태로 전환됩니다.

프로시저

다음으로 이동 모두 > 지속적인 인증 및 모니터링 > 모든 권한 부여 패키지레이블이 표시됩니다.
선택 상태이고 기준선 통제가 추가된 권한 부여 패키지 기록을 선택합니다.
선택 상태에서는 모든 기준선 통제가 추가되고 각 기준선 통제의 역할을 식별할 수 있습니다. 통제를 상속하거나, 공통으로 표시하거나, 하이브리드 통제를 만들 수 있습니다.
그림 1. 기준선 통제에 대한 UI 작업
일반 통제 공급자의 기준선 통제를 일반 통제로 할당하려면 일반 통제로 할당하려는 기준선 통제 탭에서 통제 목표를 선택합니다.
1. 공통으로 표시 단추를 선택합니다.
2. 확인 팝업에서 확인을 선택합니다.
3. 승인을 요청하려면 승인 요청 버튼을 선택합니다.
  승인 후에는 권한 부여 패키지가 구현 상태로 이동합니다. 구현 상태로 이동하기 전에 통제 목표 양식의 자동으로 통제 생성 옵션이 모든 기준선 통제 및 하이브리드 통제에 대해 True여야 합니다. 그렇지 않으면 통제 목표 목록과 함께 자동으로 통제 생성 옵션을 true로 설정하라는 오류 메시지가 나타납니다.
4. 메시지에서 통제 목표 링크를 선택하고 각 통제 목표 양식의 모든 통제 목표에 대해 자동으로 통제 생성 옵션을 활성화합니다.
권한 부여 패키지가 승인되면 컨트롤 탭에 컨트롤이 생성됩니다. 그런 다음 권한 부여 패키지를 평가 상태로 이동할 수 있습니다. 이 상태에서는 보안 통제 평가자(SCA)가 계약 리드로 필요하며, 이 경우 통제를 테스트하기 위해 계약이 생성됩니다. 이 상태가 지나면 권한 부여 패키지가 승인 상태로 이동됩니다.
권한 부여 패키지를 다른 권한 부여 패키지에 대한 공통 제어 공급자로 사용할 수 있으려면 해당 패키지가 모니터 상태여야 합니다. 권한 부여 패키지가 모니터 상태로 이동되고 일부 기준 컨트롤에 대해 공용 제어 공급자 플래그가 true로 설정되면 해당 기본 컨트롤에 대해 생성된 컨트롤은 다른 권한 부여 패키지에 대한 공용 컨트롤 공급자가 됩니다.
특정 일반 통제 제공자의 일반 통제에서 요구 사항을 상속하거나 하이브리드 통제를 생성하려면 기준선 통제 탭에서 하나의 통제 목표만 선택합니다.
1. 하이브리드 만들기 단추를 선택합니다.
  하이브리드 통제 생성 팝업에 그룹의 엔터티가 나열됩니다. 엔터티별 그룹화는 통제 목표의 참조 번호에 요구사항 번호가 더 많이 추가될 때 도움이 됩니다. 일부 공용 컨트롤 공급자에서 요구 사항을 부분적으로 상속하고 나머지 요구 사항을 자체 구현할 수 있습니다. 자체 구현된 단일 요구 사항 없이 상속을 위해 모든 공급자 범주에서 모든 제어 요구 사항을 선택하면 요구 사항이 부분적으로 상속되지 않고 허용되지 않는 모든 요구 사항의 전체 상속이 됩니다. 하이브리드 통제를 생성하려면 자체 구현된 요구 사항이 하나 이상 필요합니다.
2. 엔터티 그룹에서 요구 사항을 선택하고 해당 통제에 대한 자체 구현에 대한 하나 이상의 요구 사항을 그대로 둡니다.
3. 추가 단추를 선택합니다.
  하이브리드 통제 관련 목록이 선택한 기준선 통제와 함께 나타납니다. 기준선 통제는 통제 목표 및 권한 부여 패키지의 m2m입니다.
4. 계층 구조 목록 표시/숨기기( ) 아이콘을 선택하여 상속된 요구 사항을 확인합니다.
  여기에 나열되지 않은 다른 모든 요구 사항은 자체 구현됩니다.
  주:
  통제 요구 사항이 있는 공통 통제 공급자만 하이브리드 통제를 만드는 데 사용할 수 있습니다.
공통 제공자로부터 통제를 상속하려면 기준선 통제 관련 목록에서 통제 목표를 선택합니다.
1. 공급자로부터 상속 단추를 선택합니다.
2. 공통 통제에서 상속 팝업에서 공통 통제 목록을 선택합니다.
3. 상속할 원본 통제를 선택합니다.
4. 확인 단추를 선택합니다.
  선택한 컨트롤의 엔터티가 공통 공급자가 됩니다. 이러한 각 권한 부여 패키지에는 상속된 통제 관련 목록이 있습니다. 이 관련 목록의 상속 위치 필드는 어떤 통제가 공통 통제 공급자인지에 대한 정보를 제공합니다.
  주:
  직접 상속인 공급자에서 상속하려면 컨트롤에 대한 요구 사항이 없을 수 있습니다.
특정 기준선 통제를 적용 불가로 표시하여 작업 흐름에서 벗어나 통제가 생성되지 않도록 하려면 기준선 통제를 선택하십시오
1. 해당 사항 없음 버튼을 선택합니다.
2. 근거 필드에 작업을 정당화하는 메모를 입력합니다.
3. 확인 버튼을 클릭합니다.
  이 동작은 선택한 기준선 통제의 상태를 구현되지 않음으로 변경합니다.
선택 상태에서 생성할 컨트롤 유형에 대한 설정을 수행했습니다. 설정이 완료되면 권한 부여 패키지를 승인할 수 있습니다.
승인 요청 단추를 선택합니다.
그러면 권한 부여 패키지가 구현 상태로 전환됩니다. 이 상태에서는 설정에 따라 통제가 생성됩니다.