NIST RMF 지원 개념
지침에서 NIST RMF 개발한 이러한 개념을 숙지하십시오.
주:
버전 10.1.0부터는 NIST RMF Use Case Accelerator 현재 제품을 사용하는 고객에게만 지원됩니다. 신규 및 기존 고객은 GRC: Continuous Authorization Monitoring 애플리케이션 사용을 고려해야 합니다. 자세한 내용은 지속적 인증 및 모니터링.
| 개념 | 설명 |
|---|---|
| 대상 | 대상은 및 NIST RMF Use Case Accelerator 모든 관련 개념의 기초입니다. 대상은 제품과 여러 사용 사례 가속기 간의 ServiceNow® GRC 공유 테이블입니다. 이는 핵심 GRC 애플리케이션의 프로필 개념과 유사합니다. 선택적으로 프로파일에 연결되지만 사용 사례 가속기와 관련된 모든 속성에 사용됩니다. 주: 각 NIST RMF 대상은 RMF 수명주기 동안 단일 프로파일을 고유하게 나타냅니다. |
| 기밀성(C) | 기밀성은 대상의 보안 목표이며, 개인 정보 보호 및 독점 정보를 보호하기 위한 수단을 포함하여 정보 액세스 및 공개에 대한 승인된 제한을 유지하는 행위로 정의됩니다. 기밀성은 높음, 보통 및 낮음 값으로 표현됩니다. |
| 무결성 (I) | 무결성은 Target의 보안 목표이며, 부적절한 정보 수정 또는 파괴를 방지하는 행위로 정의되며, 정보 부인 방지 및 신뢰성 보장을 포함합니다. 무결성은 높음, 보통 및 낮음 값으로 표현됩니다. |
| 가용성(A) | 가용성은 Target의 보안 목표이며, 정보에 대한 시기 적절하고 안정적인 액세스 및 사용을 보장하는 행위로 정의됩니다. 가용성은 높음, 보통 및 낮음 값으로 표현됩니다. |
| 기준선 통제 | 기준선 통제는 NIST(국립 표준 및 기술 연구소)에서 권장하는 보안 통제 세트로, 구현되고 효과적인 것으로 확인되면 보안 요구 사항을 준수하면서 보안 위험을 완화합니다. 기준선 통제에는 높음, 보통 또는 낮음 값의 조합인 지정된 영향 값이 있습니다. |
| 영향 분석 | 영향 분석은 대상 또는 해당 운영 환경에 대해 제안된 변경 또는 실제 변경 내용이 대상의 보안 상태에 영향을 미칠 수 있거나 영향을 미친 정도를 결정합니다. 세 가지 CIA 보안 목표가 모두 낮음으로 평가되는 대상은 낮은 영향으로 간주되며 낮은 영향 값으로 태그가 지정된 보안 통제를 사용합니다. 마찬가지로 세 가지 CIA 보안 목표 중 하나라도 보통으로 평가되는 대상은 보통 영향으로 간주되며 보통 영향 값으로 태그가 지정된 보안 통제를 사용합니다. 마찬가지로 세 가지 CIA 보안 목표 중 하나라도 높음으로 평가되는 대상은 높은 영향으로 간주되며 높은 영향 값으로 태그가 지정된 보안 통제를 사용합니다. |
| 보증 | 보증 제어는 Target의 기능이 정확하고 완전하며 일관성이 있으며 보안 위험을 완화하고 보안 요구 사항을 준수하는 데 도움이 된다는 신뢰도와 보안 강도를 모두 높입니다 |
| 일반 | 일반 통제는 하나 이상의 대상에서 상속할 수 있는 통제입니다. |
| 보상 | 보상 통제는 권장 기준 보안 통제 대신 사용할 수 있는 통제이며 대상에 대해 동등하거나 유사한 보호를 제공합니다. |
| 보조 | 추가 통제는 대상의 위험 관리 요구를 적절히 충족하기 위해 추가 보안 통제로 사용할 수 있는 통제입니다. |
| 조정 | 맞춤화는 다음을 기반으로 보안 제어 기준이 수정되는 프로세스입니다: (i) 대상 범위 지정 지침; (ii) 보안 통제의 사양, 예를 들어 필요한 경우 보상; (iii) 조직의 사양 — 명시적 할당 및 선택 문을 통한 보안 통제의 정의된 매개변수 |