Exportation du catalogue, du profil et du SSP au format OSCAL

  • Rversion finale: Xanadu
  • Mis à jour 7 août 2024
  • 3 minutes de lecture

    • CAM prend en charge le langage OSCAL (Open Security Controls Assessment Language) utilisé par le National Institute of Standards and Technology (NIST) qui fournit des informations relatives aux contrôles dans des formats normalisés lisibles par machine. CAM prend en charge les modèles de catalogue, de profil et SSP.

    Exportation de SSP dans CAM

    Avec CAM, vous pouvez générer des modèles de catalogue, de profil et de plan de sécurité système (SSP) et exporter les éléments suivants :
    Catalogue
    Selon le NIST, le modèle de catalogue fournit une représentation structurée et lisible par machine d’un catalogue de contrôles. Par conséquent, dans le cadre du modèle de catalogue, vous CAM pouvez exporter les informations suivantes relatives aux contrôles :
    • Objectifs de contrôle : ceux-ci sont mappés aux contrôles. Le champ Référence d’un objectif de contrôle est mappé au contrôle du NIST. Les exigences d’un objectif de contrôle correspondent aux déclarations du contrôle du NIST. Par conséquent, chaque partie du champ Description d’un objectif de contrôle s’aligne sur la sous-partie du contrôle du NIST.
    • Exigences d’objectifs de contrôle : énoncés ou exigences de contrôle qui sont ensuite décomposés à partir de la description d’un objectif de contrôle.
    • Modèles de tests : Tests effectués sur des contrôles. Chaque contrôle a au moins un modèle de test, qui a un objectif d’évaluation.
    • Procédures d’évaluation : il s’agit des objectifs d’évaluation d’un modèle de test ou des tests effectués sur les contrôles.

    Exporter les actions d’interface utilisateur OSCAL.

    Superposer le catalogue
    Superposer les contrôles : il s’agit de politiques qui consistent en des objectifs de contrôle et qui ne font pas partie du NIST, mais qui peuvent faire partie d’un package d’autorisation. Par conséquent, ceux-ci sont exportés sous la forme d’un fichier séparé.
    Profil
    Selon le NIST, le modèle de profil fournit une représentation structurée et lisible par machine d’une base de référence. Le modèle de profil représente également une base de référence des contrôles sélectionnés à partir d’un ou de plusieurs catalogues de contrôles.

    Contrôles de la base de référence : petit ensemble d’objectifs de contrôle qui sont remplis automatiquement en fonction de l’impact. L’impact est décidé en fonction du type d’informations d’un package d’autorisation.

    • Include-controls : il s’agit de contrôles de base de référence, qui font partie du package d’autorisation.
    • Exclure des contrôles : il s’agit de contrôles de base de référence qui ont été marqués comme non applicables.

    Le profil se compose à la fois d’un catalogue et d’un catalogue de superpositions.

    Plan de sécurité du système (SSP)
    Selon le NIST, le modèle OSCAL SSP permet à un propriétaire de système d’exprimer l’implémentation système d’un système d’information dans le contexte d’une base de référence spécifique ou d’un profil OSCAL. Ou bien, il représente une description de la mise en œuvre du contrôle d’un système d’information.
    • Limite d’autorisation : une limite d’autorisation définit le périmètre d’un système particulier qui peut être géré et surveillé en permanence à l’aide de l’application CAM .
    • Trousse d’autorisation : Créé dans le but de traiter les actifs ou les systèmes selon les sept étapes prescrites par le RMF. Pour plus d'informations, consultez NIST RMF Vue d’ensemble des processus.
    • Type d’informations : le type d’informations définit le niveau d’impact du package, qui est basé sur la criticité du système d’information défini dans l’étape Catégoriser.
    • Contrôle : lorsque les objectifs de contrôle passent à l’état Implémentation, ils deviennent des contrôles.
    • Exigence de contrôle : lorsque les objectifs de contrôle passent à l’état Implémentation, ils deviennent des contrôles. Par conséquent, les exigences d’objectif de contrôle sont converties en exigence de contrôle.
    • Contrôle hérité : contrôles entièrement hérités du package d’autorisation parent. Ensuite, cela signifie que toutes les exigences de contrôle de chacun de ces contrôles sont également complètement héritées.
    • Contrôle hybride : ils sont partiellement hérités du package d’autorisation parent.

    Tables sources pour extraire les données des modèles

    Table source Propriété JSON
    Catalogue
    Objectif du contrôle Contrôles
    Objectif du contrôle associé à l’exigence d’objectif du contrôle Pièces de déclarations
    Modèle de test pour procédure d'évaluation Parties de l’objectif de l’évaluation
    Objectif du contrôle conseil
    Modèle de test Méthode d’évaluation (examiner)
    Modèle de test Méthode d’évaluation (entretien)
    Profil
    Contrôle de la base de référence Inclure : contrôles
    Contrôle de la base de référence Exclure des contrôles
    SSP
    Limite d'autorisation components
    Package d'autorisation autorisation à effet de levier
    Limite d'autorisation niveau d’impact de sécurité
    Exigence de contrôle Déclarations
    Limite d'autorisation Par composants
    Type d’informations Types d’informations