NIST RMF Use Case Accelerator 대시보드 및 보고서
NIST RMF Use Case Accelerator 여기에는 프로세스의 각 섹션(범주화, 선택, 구현, 평가, 인증 및 모니터링)에서 사용할 수 있는 다양한 대시보드에 표시되는 다양한 보고서가 NIST RMF 포함되어 있습니다.
주:
버전 10.1.0부터는 NIST RMF Use Case Accelerator 현재 제품을 사용하는 고객에게만 지원됩니다. 신규 및 기존 고객은 GRC: Continuous Authorization Monitoring 애플리케이션 사용을 고려해야 합니다. 자세한 내용은 지속적 인증 및 모니터링.
| 보고서 | 목적 |
|---|---|
| Security Compliance 개요 | 보안 정책의 전체 준수 요약을 제공합니다. |
| 프로필 규정 준수 개요 | 보안 통제를 구현하는 프로파일의 전체 준수 요약을 제공합니다. |
| 보안 준수 상세 정보 | 보안 정책에 대한 자세한 규정 준수 요약을 제공합니다. |
| 고유 보안 위험 히트맵 | 위험의 고유한 질적 결과를 기반으로 하는 보안 위험의 히트맵입니다. |
| 잔여 보안 위험 히트맵 | 위험의 잔여 질적 결과를 기반으로 하는 보안 위험의 히트맵입니다. |
| 고유 보안 위험 | 위험의 평균 고유 양적 결과를 기반으로 하는 보안 위험의 거품형 차트입니다. |
| 잔여 보안 위험 | 위험의 평균 고유 양적 결과를 기반으로 하는 보안 위험의 거품형 차트입니다. |
| 고유 연간 손실 노출 보안 위험 | 다양한 보안 위험에 대한 고유 ALE(연간 손실 예상)에 대한 인사이트를 제공합니다. |
| 잔여 연간 손실 노출 보안 위험 | 다양한 보안 위험에 대한 잔여 연간 기대 손실(ALE)에 대한 인사이트를 제공합니다. |
| 문제 요약 | 보안 정책에 대해 언급된 문제를 주별로 플롯합니다. |
| 기준선 통제가 없는 대상 | 기준선 통제가 생성되지 않은 보안 영향 분석이 완료된 대상입니다. 기준선 통제는 NIST(국립 표준 및 기술 연구소)에서 권장하는 보안 통제 세트로, 구현되고 효과적인 것으로 확인되면 보안 요구 사항을 준수하면서 보안 위험을 완화합니다. 구현할 기준선 통제는 대상에 대한 권장 기준선 정책 설명에서 확인할 수 있습니다. |
| 영향 분석 보류 중인 대상 | 조직에서 수행할 때 보안 영향 분석은 대상 또는 해당 운영 환경에 대해 제안된 변경 내용이나 실제 변경 내용이 대상의 보안 상태에 영향을 줄 수 있거나 영향을 미친 정도를 결정합니다. 대상 또는 운영 환경을 변경하면 현재 사용 중인 보안 제어(시스템별, 하이브리드 및 일반 제어 포함)에 영향을 주거나, 대상에 새로운 취약성이 생성되거나, 이전에는 필요하지 않았던 새 보안 제어에 대한 요구 사항이 생성될 수 있습니다. |
| 대상 상태 | 위험 관리 프로세스의 현재 상태별로 구성된 대상입니다. 위험 관리 프로세스는 NIST(National Institute of Standards and Technology)에서 제공합니다. 위험 관리 프레임워크(RMF)는 정보 보안 및 위험 관리 활동을 통합하는 체계적이고 구조화된 프로세스입니다. |
| 기밀성 영향 | 각 기밀성 등급 값에 대해 그룹화된 대상입니다. NIST(National Institute of Standards and Technology)는 기밀성을 개인 정보 및 독점 정보를 보호하기 위한 수단을 포함하여 정보 액세스 및 공개에 대한 승인된 제한을 유지하는 것으로 정의합니다. 기밀성은 높음, 보통, 낮음 값으로 표현됩니다. |
| 무결성 영향 | 각 무결성 등급 값에 대해 그룹화된 대상입니다. NIST(National Institute of Standards and Technology)는 무결성을 부적절한 정보 수정 또는 파기로부터 보호하는 것으로 정의하며 정보 부인 방지 및 신뢰성 보장을 포함합니다. 무결성은 높음, 보통 및 낮음 값으로 표현됩니다. |
| 가용성 영향 | 각 가용성 등급 값에 대해 그룹화된 대상입니다. NIST(National Institute of Standards and Technology)는 가용성을 정보에 대한 시기 적절하고 안정적인 액세스 및 사용을 보장하는 것으로 정의합니다. 가용성은 높음, 보통, 낮음 값으로 표현됩니다. |
| 영향도 | 각 영향 등급 값에 대해 그룹화된 대상입니다. NIST(National Institute of Standards and Technology)는 기밀성, 무결성 또는 가용성의 손실이 다음과 같이 예상될 수 있는 영향으로 영향을 정의합니다. (ii) 심각한 부작용; 또는 (iii) 조직 운영, 조직 자산 또는 개인에 대한 심각하거나 재앙적인 부정적인 영향. 보안 영향 분석은 보안 상태가 영향을 받는 정도를 조직에서 확인하는 것으로 정의됩니다. 영향은 높음, 보통, 낮음 값으로 표현됩니다. |
| 기준선 통제 검토 | 기준 정책 설명 및 통제를 쉽게 검토할 수 있도록 프레임워크의 NIST 위험 관리 선택 단계에 대한 개요를 제공합니다. NIST RMF > 선택 > 검토 기준선 통제 이 대시보드 시작 |
| 베이스라인 보안 정책 설명 | 기준 보안 정책 설명은 NIST(National Institute of Standards and Technology)에서 권장하는 보안 통제 정의 세트로, 구현되고 효과적인 것으로 확인되면 보안 요구 사항을 준수하면서 보안 위험을 완화할 수 있습니다. |
| 베이스라인 보안 통제 | 기준 보안 통제는 NIST(National Institute of Standards and Technology)에서 권장하는 보안 통제 세트로, 구현되고 있으며 효과적인 것으로 판단되는 경우 보안 요구 사항을 준수하면서 보안 위험을 완화합니다. |
| 보고서 | 목적 |
|---|---|
| 베이스라인 보안 정책 설명 | 기준 보안 정책 설명은 NIST(National Institute of Standards and Technology)에서 권장하는 보안 통제 정의 세트로, 구현되고 효과적인 것으로 확인되면 보안 요구 사항을 준수하면서 보안 위험을 완화할 수 있습니다. |
| 베이스라인 보안 통제 | 기준 보안 통제는 NIST(National Institute of Standards and Technology)에서 권장하는 보안 통제 세트로, 구현되고 있으며 효과적인 것으로 판단되는 경우 보안 요구 사항을 준수하면서 보안 위험을 완화합니다. |
| 보고서 | 목적 |
|---|---|
| 기준선 보증 정책 설명 | 기준 보안 보증 정책 설명은 NIST(National Institute of Standards and Technology)에서 권장하는 보안 제어 정의 집합으로, 구현될 때 보안 강도와 기능이 올바르고 완전하며 일관되며 보안 요구 사항을 준수하면서 보안 위험을 완화한다는 신뢰도를 모두 높이는 보증 제어 정의로 지정됩니다. |
| 기준선 보증 통제 | 기준 보안 보증 컨트롤은 보안 강도와 기능이 올바르고 완전하며 일관되며 보안 요구 사항을 준수하면서 보안 위험을 완화한다는 신뢰도를 높이기 위해 구현되는 보증 컨트롤로 지정된 NIST(National Institute of Standards and Technology)의 보안 제어 정의 집합입니다. |
| 기준선 공통 정책 설명 | 기준선 보안 공통 정책 설명은 NIST(National Institute of Standards and Technology)의 보안 통제 정의 세트이며, 조직에 의해 공용 통제 정의로 지정되면 하나 이상의 조직 대상에 의해 상속될 수 있음을 나타냅니다. |
| 기준선 공통 통제 | 기준선 보안 공용 통제는 NIST(National Institute of Standards and Technology)의 보안 통제 정의 집합으로, 구현되고 있으며 조직에서 공용 통제로 지정하면 하나 이상의 조직 대상에서 상속할 수 있음을 나타냅니다. |
| 기준선 보상 정책 설명 | 기준 보안 보상 정책 설명은 NIST(National Institute of Standards and Technology)의 보안 제어 정의 집합으로, 조직에 의해 보상 제어 정의로 지정될 때 다른 보안 제어 대신 사용할 수 있으며 조직 대상에 대해 동등하거나 유사한 보호를 제공할 수 있음을 나타냅니다. |
| 기준선 보상 통제 | 기준 보안 보상 통제는 NIST(National Institute of Standards and Technology)에서 구현되고 있는 보안 통제 정의 집합으로, 조직에서 보상 통제로 지정하면 다른 보안 통제 대신 사용할 수 있음을 나타내며 조직 대상에 대해 동등하거나 유사한 보호를 제공합니다. |
| 베이스라인 보완 정책 설명 | 기준 보안 보완 정책 설명은 NIST(National Institute of Standards and Technology)의 보안 제어 정의 집합으로, 조직에서 보조 제어 정의로 지정하면 조직 대상에 대한 위험 관리 요구 사항을 적절하게 충족하기 위해 보안 제어에 추가할 수 있음을 나타냅니다. |
| 기준선 보완 통제 | 기준 보안 추가 통제는 NIST(National Institute of Standards and Technology)의 보안 통제 정의 집합으로, 구현되고 있으며 조직에서 추가 통제로 지정하면 조직 대상에 대한 위험 관리 요구 사항을 적절하게 충족하기 위해 보안 통제에 추가할 수 있음을 나타냅니다. |
| 보고서 | 목적 |
|---|---|
| 통제 증명 완료됨 | 완료된 NIST 위험 관리 통제 증명 수를 표시합니다. |
| 통제 증명 예정된 기한 | 7일 이내에 만료되는 NIST 위험 관리 통제 증명 수를 표시합니다. |
| 7일 후 만료되는 통제 증명 | 7일 후 만료되는 NIST 위험 관리 통제 증명 수를 표시합니다. |
| 기한을 놓친 통제 증명 | 기한을 놓친 NIST 위험 관리 통제 증명 수를 표시합니다. |
| 프로파일별 통제 증명 | 프로파일별로 그룹화된 NIST 위험 관리 통제 증명의 개요를 제공합니다. |
| 기한이 지난 통제 증명 | 기한별로 그룹화된 NIST 위험 관리 통제 증명의 개요를 제공합니다. |
| 위험 평가 완료됨 | 완료된 NIST 위험 관리 위험 평가 수를 표시합니다. |
| 위험 평가 예정 기한 | 7일 이내에 만료되는 NIST 위험 관리 위험 평가 수를 표시합니다. |
| 7일 후 만료되는 위험 평가 | 7일 후 만료되는 NIST 위험 관리 위험 평가 수를 표시합니다. |
| 위험 평가 누락 기한 | 기한을 놓친 NIST 위험 관리 위험 평가 수를 표시합니다. |
| 프로파일별 위험 평가 | 프로파일별로 그룹화된 NIST 위험 관리 위험 평가의 개요를 제공합니다. |
| 기한이 지난 위험 평가 | 기한별로 그룹화된 NIST 위험 관리 위험 평가의 개요를 제공합니다. |
| 보고서 | 목적 |
|---|---|
| 대상 승인 상태 | 대상의 현재 승인 상태에 대한 개요를 제공합니다. |
| 위험 임원 승인자 | 위험 임원 승인자에게 할당된 대상의 개요를 제공합니다. |
| 공식 승인자 권한 부여 | 권한을 부여하는 공식 승인자에게 할당된 대상의 개요를 제공합니다. |
| 보고서 | 목적 |
|---|---|
| 무효 프로파일 | 보안 통제의 제어 테스트가 하나 이상 유효하지 않은 것으로 플래그 지정된 총 프로필 수입니다. |
| 무효 통제 | 하나 이상의 통제 테스트가 무효로 플래그 지정된 보안 통제의 총 수입니다. |
| 비효율적인 테스트 계획 | 보안 통제의 제어 테스트가 하나 이상 비유효로 플래그 지정된 테스트 계획의 총 수입니다. |
| 규정 미준수 통제 | 미준수 상태인 총 보안 통제 수입니다. |
| 위험 | 보안 통제와 연결된 총 위험 요소 수입니다. |
| 문제 | 보안 통제 및 위험과 관련된 총 문제 수입니다. |
| 통제 준수 | 보안 통제의 규정 준수 개요를 제공합니다. |
| 프로필 효과성 | 관련 제어 테스트의 효과성에 따라 보안 통제가 있는 프로파일에 대한 프로필 효과성에 대한 개요를 제공합니다. |
| 통제 효과성 | 관련 제어 테스트의 효과성에 따라 보안 통제의 통제 효과성에 대한 개요를 제공합니다. |
| 테스트 계획 효과성 | 관련 제어 테스트의 효과성에 기반하여 보안 통제의 테스트 계획 효과성에 대한 개요를 제공합니다. |
| 위험 | 프로파일별로 그룹화되고 보안 통제와 연결된 위험 목록입니다. |