기준선 통제를 설정하여 통제 생성 및 요구 사항 구현

릴리스 버전: Yokohama

업데이트 날짜 2025년 01월 30일

읽기5분

기준선 컨트롤을 사용하여 컨트롤을 상속하거나, 컨트롤을 일반으로 표시하거나, 하이브리드 컨트롤을 만들 수 있습니다. 하이브리드 통제를 생성하여 일반 통제에서 요구 사항을 부분적으로 상속하고 나머지 요구 사항은 기준선 통제에서 생성된 통제에 대해 생성됩니다.

시작하기 전에

필요한 역할: sn_irm_cont_auth.system_owner, sn_irm_cont_auth.info_system_sec_officer, sn_irm_cont_auth.info_system_sec_manager

이 태스크 정보

하이브리드 통제는 일반 통제에서 일부 요구 사항을 상속할 수 있는 기능을 제공할 뿐만 아니라 해당 통제에 대한 나머지 요구 사항을 자체 구현하면서 공통 통제 요구 사항을 최대한 활용할 수 있는 유연성을 제공합니다.

NIST CAM 800-53-r5에서 제공되는 컨트롤 목표에서 컨트롤을 상속하는 방법에는 두 가지가 있습니다.

제공자에게서 상속

통제권은 직접 그리고 완전하게 상속됩니다. 예를 들어, 공통 제공자인 건물 A가 화재 예방이라는 통제 목표를 제공하고 이 통제 목표에 화재 경보, 연기 감지 및 살수라는 세 가지 요구 사항이 있는 경우 통제는 일반 통제로 식별하여 직접 상속됩니다.

주:

한 권한 부여 패키지와 연결된 컨트롤은 권한 부여 패키지에서 일반 제어 공급자로 표시되고 해당 특정 패키지가 모니터 상태여야 하는 경우 다른 권한 부여 패키지에 대한 공통 공급자가 될 수 있습니다. 그런 다음에만 일반 컨트롤이라고 합니다.

하이브리드 상속

제어는 부분적으로 상속됩니다. 이 경우 제어의 요구 사항 중 하나 또는 일부만 상속됩니다. 앞의 예를 고려할 때 하이브리드 상속은 다음과 같은 조합으로 사용하도록 설정됩니다.

화재 경보와 같은 요구 사항 중 하나는 건물 A에서 상속할 수 있고 다른 두 요구 사항은 자체 구현할 수 있습니다.
화재 경보와 같은 요구 사항 중 하나는 건물 A에서 상속할 수 있고 연기 감지와 같은 다른 요구 사항은 건물 B에서 상속할 수 있습니다. 나머지는 자체 구현할 수 있습니다.
모든 요구 사항은 상속됩니다. 이 상속은 적어도 하나의 요구 사항을 상속해야 하고 하나는 자체 구현되어야 하므로 부분 상속이 아닙니다. 따라서 이 상속을 하이브리드 상속이라고 할 수 없습니다.

주:

권한 부여 패키지의 역할과 책임은 권한 부여 패키지가 한 상태에서 다른 상태로 이동할 때 검토 및 승인해야 하는 권한 부여 담당자(AO)에게 할당되어야 합니다. 정보시스템 보안 책임자(ISSO)는 공통 통제를 표시하거나, 하이브리드 통제를 만들거나, 이러한 통제 목표가 NIST에 의해 소싱되므로 해당 통제를 적용할 수 없는 것으로 식별해야 합니다. 권한 부여 담당자(AO)가 승인을 제공하면 권한 부여 패키지가 구현 상태로 이동합니다.

프로시저

다음으로 이동 모두 > 지속적인 인증 및 모니터링 > 모든 권한 부여 패키지.
선택 상태이며 기준선 통제가 추가된 인증 패키지 기록을 선택합니다.
선택 상태에서 모든 기준선 통제가 추가되고 각 기준선 통제의 역할을 식별할 수 있습니다. 컨트롤을 상속하거나, 컨트롤을 일반으로 표시하거나, 하이브리드 컨트롤을 만들 수 있습니다.
공통 통제 제공자의 기준선 통제를 일반 통제로 할당하려면 기준선 통제 탭에서 일반 통제로 할당할 통제 목표를 선택합니다.
1. 공통으로 표시를 선택한 다음, 확인 팝업에서 확인을 선택합니다.
2. 승인을 요청하려면 승인 요청을 선택합니다.
  승인 후 권한 부여 패키지가 구현 상태로 전환됩니다. 구현 상태로 이동하기 전에 통제 목표 양식의 통제 자동 생성 옵션이 모든 기준선 통제 및 하이브리드 통제에 대해 true로 설정되어야 합니다. 그렇지 않으면 통제 목표 목록과 함께 자동으로 통제 생성 옵션을 true로 설정하라는 오류 메시지가 팝업됩니다.
3. 메시지에서 통제 목표 링크를 선택하고 각 통제 목표 양식의 모든 통제 목표에 대해 통제를 자동으로 생성 옵션을 활성화합니다.
권한 부여 패키지가 승인되면 통제 탭에 통제가 생성됩니다. 그런 다음 권한 부여 패키지를 평가 상태로 이동할 수 있습니다. 이 상태에서는 SCA(보안 통제 평가자)가 계약 리드로 필요하며, 여기서 통제를 테스트하기 위해 계약이 생성됩니다. 이 상태가 지나면 권한 부여 패키지가 승인 상태로 이동됩니다.
권한 부여 패키지를 다른 권한 부여 패키지에 대한 공통 제어 공급자로 사용할 수 있으려면 모니터 상태여야 합니다. 권한 부여 패키지가 모니터 상태로 이동되고 일부 기본 컨트롤에 대해 공통 제어 공급자 플래그가 true로 설정되면 해당 기본 컨트롤에 대해 생성된 컨트롤이 다른 권한 부여 패키지의 공통 제어 공급자가 됩니다.
특정 공통 통제 제공자의 일반 통제에서 요구 사항을 상속하거나 하이브리드 통제를 생성하려면 기준선 통제 탭에서 하나의 통제 목표만 선택합니다.
1. 하이브리드 만들기를 선택합니다.
  하이브리드 통제 생성 팝업은 엔터티를 그룹으로 나열합니다. 엔터티별 그룹화는 통제 목표의 참조 번호에 추가된 요구 사항 번호가 더 많을 때 도움이 됩니다. 일부 공통 제어 공급자에서 요구 사항을 부분적으로 상속하고 나머지 요구 사항을 자체 구현할 수 있습니다. 단일 자체 구현 요구 사항 없이 상속을 위해 모든 제공자 범주의 모든 통제 요구 사항을 선택하면 요구 사항이 부분적으로 상속되지 않지만 허용되지 않는 모든 요구 사항의 전체 상속이 됩니다. 하이브리드 통제를 생성하려면 자체 구현된 요구 사항이 하나 이상 필요합니다.
2. 엔터티 그룹화에서 요구 사항을 선택하고 해당 제어에 대한 자체 구현에 대한 하나 이상의 요구 사항을 남겨 둡니다.
3. 추가를 선택합니다.
  하이브리드 통제 관련 목록이 선택한 기준선 통제와 함께 나타납니다. 기준선 통제는 통제 목표 및 권한 부여 패키지의 m2m입니다.
  
  그림 1. 기준선 통제에 대한 UI 작업
4. 계층적 목록 표시/숨기기 아이콘( . ) 아이콘을 선택하여 상속된 요구 사항을 확인합니다.
  여기에 나열되지 않은 다른 모든 요구 사항은 자체 구현됩니다.
  주:
  통제 요구 사항이 있는 공통 통제 공급자만 하이브리드 통제를 만드는 데 사용할 수 있습니다.
공통 제공자로부터 통제를 상속하려면 기준선 통제 관련 목록에서 통제 목표를 선택합니다.
1. 제공자에게서 상속을 선택한 다음 공통 통제에서 상속 팝업에서 공통 통제 목록을 선택합니다.
2. 상속할 컨트롤을 선택하고 확인을 선택합니다.
  선택한 컨트롤의 엔터티가 공통 제공자가 됩니다. 이러한 각 권한 부여 패키지에는 상속된 통제 관련 목록이 있습니다. 이 관련 목록의 상속 출처 필드에서는 어떤 통제가 공통 통제 공급자인지에 대한 정보를 제공합니다.
  주:
  직접 상속인 공급자로부터 상속하려면 컨트롤에 대한 요구 사항이 없을 수 있습니다.
특정 기준선 통제를 해당 사항 없음으로 표시하여 해당 통제가 워크플로우를 벗어나도록 하고 통제를 생성하지 못하게 하려면 기준선 통제를 선택합니다.
1. 해당 사항 없음을 선택합니다.
2. Justification(사유) 필드에 작업을 정당화하는 메모를 입력한 다음 Confirm(확인)을 선택합니다.
  이 동작은 선택한 기준선 통제의 상태를 구현되지 않음으로 변경합니다.
Select 상태에서 생성할 컨트롤 유형에 대한 설정을 수행했습니다. 설정이 완료되면 권한 부여 패키지를 승인할 수 있습니다.
승인 요청을 선택합니다.
그러면 권한 부여 패키지가 구현 상태로 전환됩니다. 이 상태에서는 설정에 따라 컨트롤이 생성됩니다.