CAM OSCAL

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 3 min. de leitura

    • A linguagem de avaliação de controles de segurança aberta (OSCAL) fornece uma maneira padronizada de expressar informações relacionadas ao controle, permitindo interoperabilidade, consistência e automação na segurança de TI. Ele é compatível somente com o formato JSON. CAM Compatível com OSCAL versão 1,1.2.

    OSCAL é um conjunto de formatos legíveis por máquina desenvolvido pelo Instituto Nacional de Padrões e Tecnologia (NIST). Ele foi projetado para oferecer suporte à automação de avaliações de controle de segurança, relatórios de conformidade e processos de gestão de riscos.

    O CAM oferece suporte à exportação e importação de dados OSCAL para modelos de Catálogo e Plano de segurança do sistema (SSP).

    CAM Modelos OSCAL compatíveis

    CAM O OSCAL é compatível com os seguintes modelos:
    Catálogo
    De acordo com o NIST, o modelo de catálogo fornece uma representação estruturada e legível por máquina de um catálogo de controles. Portanto, como parte do modelo de catálogo, usando CAM você pode obter as seguintes informações relacionadas ao controle:
    • Objetivos de controle: Eles são mapeados para controles. . Referência O campo em um objetivo de controle é mapeado para o controle do NIST. Os requisitos de um objetivo de controle são mapeados para as declarações do controle do NIST. Portanto, cada parte do Descrição O campo em um objetivo de controle se alinha com a subparte do controle do NIST. Os objetivos de controle secundário de cada objetivo de controle são mapeados para o campo de controle. Os objetivos de controle relacionados do objetivo de controle são mapeados para o campo Links.
    • Requisitos do objetivo de controle: Declarações ou requisitos de controle que são detalhados a partir da descrição de um objetivo de controle.
    • Modelos de teste: Testes feitos em controles. Cada controle tem pelo menos um modelo de teste, que tem um objetivo de avaliação.
    • Procedimentos de avaliação: São objetivos de avaliação de um modelo de teste ou os testes realizados em controles.
    Catálogo de sobreposição
    Controles de sobreposição: São políticas que consistem em objetivos de controle e não fazem parte do NIST, mas podem estar em um pacote de autorização.
    Perfil
    De acordo com o NIST, o modelo de perfil fornece uma representação estruturada e legível por máquina de uma linha de base. O modelo de perfil também representa uma linha de base de controles selecionados de um ou mais catálogos de controle.

    Controles de linha de base: Pequeno conjunto de objetivos de controle que são preenchidos automaticamente com base no impacto. O impacto é decidido com base no Tipo de informação de um pacote de autorização.

    • Include-controls: São controles de linha de base, que fazem parte do pacote de autorização.
    • Controles de exclusão: São controles de linha de base que foram marcados como não aplicáveis.

    O perfil consiste em Catálogo e Catálogo de sobreposição.

    Plano de segurança do sistema (SSP)
    De acordo com o NIST, o modelo SSP OSCAL permite que um proprietário do sistema expresse a implementação do sistema de um sistema de informação no contexto de uma linha de base específica ou perfil OSCAL. Ou representa uma descrição da implementação de controle de um sistema de informação.
    • Limite de autorização: Um limite de autorização define o escopo de um sistema específico que pode ser continuamente gerenciado e monitorado usando o. CAM aplicação.
    • Pacote de autorização: Criado com a finalidade de processar os ativos ou sistemas por meio das sete etapas exigidas pelo RMF. Para obter mais informações, consulte NIST RMF visão geral do processo.
    • Tipo de informação: O tipo de informação define o nível de impacto do pacote, que é baseado na criticidade do sistema de informações definido na etapa Categorizar.
    • Controle: Quando os objetivos de controle são movidos para o estado de implementação, eles se tornam controles.
    • Requisito de controle: Quando os objetivos de controle são movidos para o estado de implementação, eles se tornam controles. De forma correspondente, os requisitos do objetivo de controle são convertidos em requisito de controle.
    • Controle herdado: Controles que são totalmente herdados do pacote de autorização primário. Em seguida, isso significa que todos os requisitos de controle de cada controle também são herdados completamente.
    • Controle híbrido: Eles são parcialmente herdados do pacote de autorização primário.