CAM OSCAL

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • O Open Security Controls Assessment Language (OSCAL) fornece uma maneira padronizada de expressar informações relacionadas ao controle, permitindo interoperabilidade, consistência e automação na segurança de TI. Ele oferece suporte somente ao formato JSON. CAM Compatível com OSCAL versão 1,1.2.

    OSCAL é um conjunto de formatos legíveis por máquina desenvolvido pelo Instituto Nacional de Padrões e Tecnologia (NIST). Ele foi projetado para oferecer suporte à automação de avaliações de controle de segurança, emissão de relatórios de conformidade e processos de gestão de riscos.

    O CAM oferece suporte à exportação e importação de dados OSCAL para os modelos Catálogo e Plano de segurança do sistema (SSP).

    CAM Modelos OSCAL compatíveis

    CAM OSCAL é compatível com os seguintes modelos:
    Catálogo
    De acordo com o NIST, o modelo de catálogo fornece uma representação estruturada e legível por máquina de um catálogo de controles. Portanto, como parte do modelo de catálogo, usando CAM você pode obter as seguintes informações relacionadas ao controle:
    • Objetivos de controle: Eles são mapeados para controles. . Referência O campo em um objetivo de controle é mapeado para o controle NIST. Os requisitos de um objetivo de controle são mapeados para as declarações do controle do NIST. Portanto, cada parte do Descrição O campo em um objetivo de controle se alinha com a subparte do controle do NIST. Os objetivos de controle secundário de cada objetivo de controle são mapeados para o campo de controle. Os objetivos de controle relacionados do objetivo de controle são mapeados para o campo Links.
    • Requisitos de objetivo de controle: Declarações ou requisitos de controle que são detalhados a partir da descrição de um objetivo de controle.
    • Modelos de teste: Testes feitos nos controles. Cada controle tem pelo menos um modelo de teste, que tem um objetivo de avaliação.
    • Procedimentos de avaliação: Estes são objetivos de avaliação de um modelo de teste ou os testes feitos em controles.
    Catálogo de sobreposição
    Controles de sobreposição: São políticas que consistem em objetivos de controle e não fazem parte do NIST, mas podem estar em um pacote de autorização.
    Perfil
    De acordo com o NIST, o modelo de perfil fornece uma representação estruturada e legível por máquina de uma linha de base. O modelo de perfil também representa uma linha de base de controles selecionados de um ou mais catálogos de controle.

    Controles de linha de base: Pequeno conjunto de objetivos de controle que são preenchidos automaticamente com base no impacto. O impacto é decidido com base no Tipo de informação de um pacote de autorização.

    • Include-controls: Esses são controles de linha de base, que fazem parte do pacote de autorização.
    • Exclude-controls: Estes são controles de linha de base que foram marcados como não aplicáveis.

    O perfil consiste em Catálogo e Catálogo de sobreposição.

    Plano de Segurança do Sistema (SSP)
    De acordo com o NIST, o modelo SSP OSCAL permite que um proprietário do sistema expresse a implementação do sistema de um sistema de informação dentro do contexto de uma linha de base específica ou perfil OSCAL. Ou representa uma descrição da implementação de controle de um sistema de informação.
    • Limite de autorização: Um limite de autorização define o escopo de um sistema específico que pode ser gerenciado e monitorado continuamente usando o. CAM aplicação.
    • Pacote de autorização: Criado com a finalidade de processar os ativos ou sistemas por meio das sete etapas exigidas pelo RMF. Para obter mais informações, consulte NIST RMF visão geral do processo.
    • Tipo de informação: O tipo de informação define o nível de impacto do pacote, que se baseia na criticidade do sistema de informações definido na etapa Categorizar.
    • Controle: Quando os objetivos de controle são movidos para o estado de implementação, eles se tornam controles.
    • Requisito de controle: Quando os objetivos de controle são movidos para o estado de implementação, eles se tornam controles. De forma correspondente, os requisitos do objetivo de controle são convertidos em requisito de controle.
    • Controle herdado: Controles que são totalmente herdados do pacote de autorização primário. Em seguida, isso significa que todos os requisitos de controle de cada controle também são herdados completamente.
    • Controle híbrido: Eles são parcialmente herdados do pacote de autorização primário.