CAM OSCAL

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Die Open Security Controls Assessment Language (OSCAL) bietet eine standardisierte Möglichkeit, steuerungsbezogene Informationen auszudrücken, und ermöglicht Interoperabilität, Konsistenz und Automatisierung in der IT-Sicherheit. Unterstützt nur das JSON-Format. CAM unterstützt OSCAL Version 1.1.2.

    OSCAL ist ein Satz maschinenlesbarer Formate, der vom National Institute of Standards and Technology (NIST) entwickelt wurde. Es wurde entwickelt, um die Automatisierung von Sicherheitskontrollbewertungen, Compliance-Berichten und Risikomanagementprozessen zu unterstützen.

    CAM unterstützt den Export und Import von OSCAL-Daten für Katalog- und Systemsicherheitsplanmodelle (System Security Plan, SSP).

    CAM unterstützte OSCAL-Modelle

    CAM OSCAL unterstützt die folgenden Modelle:
    Katalog
    Laut NIST bietet das Katalogmodell eine strukturierte, maschinenlesbare Darstellung eines Katalogs von Steuerungen. Daher können Sie als Teil des Katalogmodells mit CAM die folgenden steuerungsbezogenen Informationen abrufen:
    • Kontrollziele: Diese sind Steuerungen zugeordnet. Das Referenzfeld in einem Kontrollziel ist der NIST-Steuerung zugeordnet. Die Anforderungen eines Steuerungsziels werden den Anweisungen der NIST-Steuerung zugeordnet. Daher wird jeder Teil des Beschreibungsfelds in einem Kontrollziel mit dem Unterteil der NIST-Steuerung übereinstimmen. Die untergeordneten Kontrollziele jedes Kontrollziels werden dem Kontrollfeld zugeordnet. Zugehörige Kontrollziele des Kontrollziels werden dem Feld „Links“ zugeordnet.
    • Steuerungsziel-Anforderungen: Anweisungen oder Steuerungsanforderungen, die anhand der Beschreibung eines Steuerungsziels weiter aufgeschlüsselt werden.
    • Testvorlagen: Tests, die für Steuerungen durchgeführt werden. Jede Steuerung verfügt über mindestens eine Testvorlage, die ein Bewertungsziel verfolgt.
    • Bewertungsverfahren: Dies sind Bewertungsziele einer Testvorlage oder der Tests, die für Steuerungen durchgeführt werden.
    Überlagerungskatalog
    Überlagerungssteuerungen: Dies sind Richtlinien, die aus Kontrollzielen bestehen und nicht Teil des NIST sind, aber in einem Autorisierungspaket enthalten sein können.
    Profil
    Laut NIST bietet das Profilmodell eine strukturierte, maschinenlesbare Darstellung einer Baseline. Das Profilmodell stellt auch eine Baseline ausgewählter Steuerungen aus einem oder mehreren Steuerungskatalogen dar.

    Baseline-Steuerungen: Kleiner Satz von Kontrollzielen, die basierend auf der Auswirkung automatisch ausgefüllt werden. Die Auswirkung wird basierend auf dem Informationstyp eines Autorisierungspakets entschieden.

    • Include-Steuerungen: Dies sind Baseline-Steuerungen, die Teil des Autorisierungspakets sind.
    • Exclude-controls: Dies sind Baseline-Steuerungen, die als Nicht zutreffend markiert wurden.

    Das Profil besteht aus einem Katalog und einem Überlagerungskatalog.

    Systemsicherheitsplan (SSP)
    Laut NIST ermöglicht das OSCAL SSP-Modell einem Systembesitzer, die Systemimplementierung eines Informationssystems im Kontext einer bestimmten Baseline oder eines bestimmten OSCAL-Profils auszudrücken. Oder es stellt eine Beschreibung der Steuerungsimplementierung eines Informationssystems dar.
    • Autorisierungsgrenze: Eine Autorisierungsgrenze definiert den Umfang eines bestimmten Systems, das mit der Anwendung CAM kontinuierlich verwaltet und überwacht werden kann.
    • Autorisierungspaket: Wird zum Zweck der Verarbeitung der Assets oder Systeme durch die sieben vom RMF vorgeschriebenen Schritte erstellt. Weitere Informationen finden Sie unter NIST RMF Prozessübersicht.
    • Informationstyp: Der Informationstyp definiert die Auswirkungsebene des Pakets, die auf der Relevanz des im Schritt Kategorisieren definierten Informationssystems basiert.
    • Steuerung: Wenn Steuerungsziele in den Status „Implementierung“ wechseln, werden sie zu Steuerungen.
    • Steuerungsanforderung: Wenn Steuerungsziele in den Status „Implementierung“ wechseln, werden sie zu Steuerungen. Entsprechend werden die Steuerungsziel-Anforderungen in Steuerungsanforderungen konvertiert.
    • Geerbte Steuerung: Steuerungen, die vollständig vom übergeordneten Autorisierungspaket übernommen werden. Dann bedeutet dies, dass alle Steuerungsanforderungen jeder solchen Steuerung ebenfalls vollständig geerbt werden.
    • Hybridsteuerung: Diese werden teilweise vom übergeordneten Autorisierungspaket geerbt.