기준선 통제를 사용하여 통제를 상속하거나, 통제를 일반으로 표시하거나, 하이브리드 통제를 만듭니다. 하이브리드 통제를 만들어 공통 통제에서 요구 사항을 부분적으로 상속하면 나머지 요구 사항은 기준선 통제에서 생성된 통제에 대해 생성됩니다.
시작하기 전에
필요한 역할: sn_irm_cont_auth.system_owner, sn_irm_cont_auth.info_system_sec_officer, sn_irm_cont_auth.info_system_sec_manager
이 태스크 정보
하이브리드 통제는 일반 통제에서 부분 요구 사항을 상속할 수 있는 기능을 제공할 뿐만 아니라 해당 통제에 대한 나머지 요구 사항을 자체 구현하면서 일반 통제 요구 사항을 최대한 활용할 수 있는 유연성을 제공합니다.
NIST 800-53-r5에서 가져온 통제 목표에서 통제를 상속하는 방법에는 CAM 두 가지가 있습니다.
제공자에게서 상속
제어는 직접적이고 완전하게 상속됩니다. 예를 들어, 공통 제공자인 건물 A가 화재 예방이라는 제어 목표를 제공하고 이 제어 목표에 화재 경보, 연기 감지 및 살수라는 세 가지 요구 사항이 있는 경우 통제는 공통 제어로 식별하여 직접 상속됩니다.
주:
하나의 권한 부여 패키지와 연결된 컨트롤은 컨트롤이 권한 부여 패키지에서 일반 제어 공급자로 표시되고 해당 특정 패키지가 모니터 상태여야 하는 경우 다른 권한 부여 패키지의 공통 공급자가 될 수 있습니다. 그런 다음에야 일반 컨트롤로 호출됩니다.
하이브리드 상속
제어는 부분적으로 상속됩니다. 이 경우 컨트롤의 요구 사항 중 하나 또는 몇 개만 상속됩니다. 앞의 예를 고려할 때 하이브리드 상속은 다음과 같은 조합으로 사용할 수 있습니다.
화재 경보와 같은 요구 사항 중 하나는 건물 A에서 상속할 수 있고 다른 두 요구 사항은 자체 구현할 수 있습니다.
화재 경보와 같은 요구 사항 중 하나는 건물 A에서 상속할 수 있고 연기 감지와 같은 다른 요구 사항은 건물 B에서 상속할 수 있습니다. 나머지는 자체 구현할 수 있습니다.
모든 요구 사항은 상속됩니다. 이 상속은 요구 사항 중 하나 이상을 상속해야 하고 자체 구현되어야 하므로 부분 상속이 아닙니다. 따라서 이 상속을 하이브리드 상속이라고 할 수 없습니다.
주:
권한 부여 패키지의 역할과 책임은 권한 부여 패키지가 한 상태에서 다른 상태로 이동할 때 권한 부여 패키지를 검토하고 승인해야 하는 권한 부여 공무원(AO)에게 할당되어야 합니다. 정보 시스템 보안 책임자(ISSO)는 이러한 통제 목표가 NIST에서 제공되므로 공통 통제를 표시하거나, 하이브리드 통제를 생성하거나, 해당 없는 것으로 통제를 식별해야 합니다. AO(권한 부여 공무원)가 승인을 제공하면 권한 부여 패키지가 구현 상태로 전환됩니다.
프로시저
다음으로 이동 모두 > 지속적인 인증 및 모니터링 > 모든 권한 부여 패키지.
선택 상태이며 기준선 통제가 추가된 인증 패키지 기록을 선택합니다.
선택 상태에서는 모든 기준선 통제가 추가되고 각 기준선 통제의 역할을 식별할 수 있습니다. 통제를 상속하거나, 통제를 일반으로 표시하거나, 하이브리드 통제를 만들 수 있습니다.
공통 통제 제공자의 기준선 통제를 일반 통제로 할당하려면 공통 통제로 할당할 기준선 통제 탭에서 통제 목표를 선택합니다.
일반으로 표시를 선택한 다음, 확인 팝업에서 확인을 선택합니다.
승인을 요청하려면 승인 요청을 선택합니다.
승인 후 권한 부여 패키지는 구현 상태로 전환됩니다. 구현 상태로 이동하기 전에 통제 목표 양식의 자동으로 통제 생성 옵션이 모든 기준선 통제 및 하이브리드 통제에 대해 true여야 합니다. 그렇지 않으면 통제 목표 목록과 함께 자동으로 통제 생성 옵션을 true로 설정하라는 오류 메시지가 표시됩니다.
메시지에서 통제 목표 링크를 선택하고 각 통제 목표 양식의 모든 통제 목표에 대해 자동으로 통제 생성 옵션을 활성화합니다.
권한 부여 패키지가 승인되면 통제 탭에 통제가 생성됩니다. 그런 다음 권한 부여 패키지를 평가 상태로 이동할 수 있습니다. 이 상태에서는 보안 통제 평가자(SCA)가 통제를 테스트하기 위해 계약이 생성되는 계약 리드로 필요합니다. 이 상태가 지나면 권한 부여 패키지가 인증 상태로 전환됩니다.
권한 부여 패키지를 다른 권한 부여 패키지에 대한 공통 제어 공급자로 사용할 수 있으려면 모니터 상태여야 합니다. 권한 부여 패키지가 모니터 상태로 이동되고 일부 기준 컨트롤에 대해 일반 제어 공급자 플래그가 true로 설정되면 해당 기준 컨트롤에 대해 생성된 컨트롤은 다른 권한 부여 패키지에 대한 일반 제어 공급자가 됩니다.
특정 일반 통제 공급자의 일반 통제에서 요구 사항을 상속하거나 하이브리드 통제를 생성하려면 기준선 통제 탭에서 하나의 통제 목표만 선택합니다.
하이브리드 만들기를 선택합니다.
하이브리드 통제 생성 팝업은 그룹의 엔터티를 나열합니다. 엔터티별 그룹화는 통제 목표의 참조 번호에 더 많은 요구 사항 번호가 추가될 때 도움이 됩니다. 일부 일반 제어 공급자에서 요구 사항을 부분적으로 상속하고 나머지 요구 사항을 자체 구현할 수 있습니다. 자체 구현된 단일 요구 사항 없이 상속을 위해 모든 공급자 범주에서 모든 제어 요구 사항을 선택하면 요구 사항이 부분적으로 상속되지 않고 허용되지 않는 모든 요구 사항의 전체 상속이 됩니다. 하이브리드 통제를 생성하려면 자체 구현된 요구 사항이 하나 이상 필요합니다.
자체 구현에 대한 하나 이상의 요구 사항을 해당 통제에 남겨두고 엔터티 그룹에서 요구 사항을 선택합니다.
추가를 선택합니다.
하이브리드 통제 관련 목록이 선택한 기준선 통제와 함께 표시됩니다. 기준선 통제는 통제 목표 및 권한 부여 패키지의 m2m입니다.
그림 1. 기준선 통제에 대한 UI 작업
계층 구조 목록 표시/숨기기( . ) 아이콘을 선택하여 상속된 요구 사항을 확인합니다.
여기에 나열되지 않은 다른 모든 요구 사항은 자체 구현됩니다.
주:
통제 요구 사항이 있는 공통 통제 공급자만 하이브리드 통제를 만드는 데 사용할 수 있습니다.
공통 제공자로부터 통제를 상속하려면 기준선 통제 관련 목록에서 통제 목표를 선택합니다.
Inherit from Provider(공급자에서 상속)를 선택한 다음 Inherit from Common Control(공통 제어에서 상속) 팝업에서 Common control(공통 제어) 목록을 선택합니다.
상속할 컨트롤을 선택하고 확인을 선택합니다.
선택한 컨트롤의 엔터티는 공통 공급자가 됩니다. 이러한 각 권한 부여 패키지에는 상속된 통제 관련 목록이 있습니다. 이 관련 목록의 다음에서 상속됨 필드는 어떤 통제가 공통 통제 공급자인지에 대한 정보를 제공합니다.
주:
직접 상속인 공급자에서 상속하려면 컨트롤에 대한 요구 사항이 없을 수 있습니다.
특정 기준선 통제를 적용 불가능으로 표시하여 해당 통제가 워크플로우 밖에 있고 통제가 생성되는 것을 허용하지 않도록 하려면 기준선 통제를 선택합니다
해당 사항 없음을 선택합니다.
Justification 필드에 작업을 정당화하는 메모를 입력한 다음, Confirm을 선택합니다.
이 동작은 선택한 기준선 통제의 상태를 구현되지 않음으로 변경합니다.
선택 상태에서 생성할 컨트롤 유형에 대한 설정을 수행했습니다. 설정이 완료되면 권한 부여 패키지를 승인할 수 있습니다.
승인 요청을 선택합니다.
그러면 권한 부여 패키지가 구현 상태로 전환됩니다. 이 상태에서는 설정에 따라 컨트롤이 생성됩니다.
. ) 아이콘을 선택하여 상속된 요구 사항을 확인합니다.
여기에 나열되지 않은 다른 모든 요구 사항은 자체 구현됩니다.주:통제 요구 사항이 있는 공통 통제 공급자만 하이브리드 통제를 만드는 데 사용할 수 있습니다.