CAM OSCAL

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • L’Open Security Controls Assessment Language (OSCAL) offre un moyen standardisé d’exprimer les informations relatives aux contrôles, permettant ainsi l’interopérabilité, la cohérence et l’automatisation de la sécurité informatique. Il ne prend en charge que le format JSON. CAM prend en charge la version 1.1.2 d’OSCAL.

    OSCAL est un ensemble de formats lisibles par machine développés par le National Institute of Standards and Technology (NIST). Il est conçu pour prendre en charge l’automatisation des évaluations des contrôles de sécurité, des rapports de conformité et des processus de gestion des risques.

    CAM prend en charge l’exportation et l’importation de données OSCAL pour les modèles de catalogue et de plan de sécurité système (SSP).

    CAM modèles OSCAL pris en charge

    CAM OSCAL prend en charge les modèles suivants :
    Catalogue
    Selon le NIST, le modèle de catalogue fournit une représentation structurée et lisible par machine d’un catalogue de contrôles. Par conséquent, dans le cadre du modèle de catalogue, CAM vous pouvez obtenir les informations relatives au contrôle suivantes :
    • Objectifs de contrôle : ils sont mappés aux contrôles. Le champ Référence d’un objectif de contrôle est mappé au contrôle NIST. Les exigences d’un objectif de contrôle correspondent aux déclarations du contrôle du NIST. Par conséquent, chaque partie du champ Description d’un objectif de contrôle s’aligne sur la sous-partie du contrôle du NIST. Les objectifs de contrôle enfants de chaque objectif de contrôle sont mappés au champ de contrôle. Les objectifs de contrôle connexes de l’objectif de contrôle sont mappés au champ Liens.
    • Exigences d’objectifs de contrôle : déclarations ou exigences de contrôle qui sont décomposées à partir de la description d’un objectif de contrôle.
    • Modèles de test : tests effectués sur les contrôles. Chaque contrôle dispose d’au moins un modèle de test, qui a un objectif d’évaluation.
    • Procédures d’évaluation : il s’agit des objectifs d’évaluation d’un modèle de test ou des tests effectués sur les contrôles.
    Superposer le catalogue
    Contrôles de superposition : il s’agit de politiques qui consistent en des objectifs de contrôle et qui ne font pas partie du NIST, mais qui peuvent se trouver dans un package d’autorisation.
    Profil
    Selon le NIST, le modèle de profil fournit une représentation structurée et lisible par machine d’une base de référence. Le modèle de profil représente également une base de référence de contrôles sélectionnés à partir d’un ou de plusieurs catalogues de contrôles.

    Contrôles de base de référence : petit ensemble d’objectifs de contrôle renseignés automatiquement en fonction de l’impact. L’impact est décidé en fonction du type d’information d’un package d’autorisation.

    • Contrôles Include : contrôles de base de référence qui font partie du package d’autorisation.
    • Exclure les contrôles : il s’agit des contrôles de base de référence qui ont été marqués comme non applicables.

    Le profil se compose à la fois du catalogue et du catalogue superposé.

    Plan de sécurité du système (SSP)
    Selon le NIST, le modèle OSCAL SSP permet à un propriétaire de système d’exprimer l’implémentation système d’un système d’information dans le contexte d’une base de référence spécifique ou d’un profil OSCAL. Il représente également une description de l’implémentation du contrôle d’un système d’information.
    • Limite d’autorisation : une limite d’autorisation définit le périmètre d’un système particulier qui peut être géré et surveillé en permanence à l’aide de l’application CAM .
    • Package d’autorisation : créé dans le but de traiter les actifs ou les systèmes à travers les sept étapes mandatées par le RMF. Pour plus d'informations, consultez NIST RMF Vue d’ensemble des processus.
    • Type d’information : le type d’information définit le niveau d’impact du package, qui est basé sur la criticité du système d’information défini dans l’étape Catégoriser.
    • Contrôle : lorsque les objectifs de contrôle passent à l’état Implémentation, ils deviennent des contrôles.
    • Exigence de contrôle : lorsque les objectifs de contrôle passent à l’état Implémentation, ils deviennent des contrôles. En conséquence, les exigences d’objectif de contrôle sont converties en exigence de contrôle.
    • Contrôle hérité : contrôles entièrement hérités du package d’autorisation parent. Ensuite, cela signifie que toutes les exigences de contrôle de chacun de ces contrôles sont également héritées complètement.
    • Contrôle hybride : ils sont partiellement hérités du package d’autorisation parent.