CAM OSCAL

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Die Bewertungssprache für offene Sicherheitssteuerungen (OSCAL) bietet eine standardisierte Möglichkeit, steuerungsbezogene Informationen auszudrücken und so Interoperabilität, Konsistenz und Automatisierung in der IT-Sicherheit zu ermöglichen. Unterstützt nur das JSON-Format. CAMUnterstützt OSCAL Version 1,1.2.

    OSCAL ist eine Reihe maschinenlesbarer Formate, die vom National Institute of Standards and Technology (NIST) entwickelt wurden. Es wurde entwickelt, um die Automatisierung von Sicherheitskontrollbewertungen, Compliance-Berichten und Risikomanagementprozessen zu unterstützen.

    CAM unterstützt den Export und Import von OSCAL-Daten sowohl für Katalog- als auch für SSP-Modelle.

    CAM Unterstützte OSCAL-Modelle

    CAM OSCAL unterstützt die folgenden Modelle:
    Katalog
    Laut NIST bietet das Katalogmodell eine strukturierte, maschinenlesbare Darstellung eines Katalogs von Steuerungen. Daher als Teil des Katalogmodells mit CAMSie können die folgenden steuerungsbezogenen Informationen abrufen:
    • Kontrollziele: Diese sind Steuerungen zugeordnet. Die Referenz Das Feld in einem Kontrollziel ist der NIST-Steuerung zugeordnet. Die Anforderungen eines Kontrollziels sind den Anweisungen der Kontrolle des NIST zugeordnet. Daher wird jeder Teil von Beschreibung Das Feld in einem Kontrollziel ist an dem Unterteil der Kontrolle des NIST ausgerichtet. Die untergeordneten Kontrollziele jedes Kontrollziels werden dem Kontrollfeld zugeordnet. Zugehörige Kontrollziele des Kontrollziels werden dem Feld „Links“ zugeordnet.
    • Kontrollzielanforderungen: Anweisungen oder Kontrollanforderungen, die weiter aus der Beschreibung eines Kontrollziels aufgegliedert sind.
    • Testvorlagen: Tests für Steuerungen. Jede Kontrolle verfügt über mindestens eine Testvorlage, die ein Bewertungsziel hat.
    • Bewertungsverfahren: Dies sind Bewertungsziele einer Testvorlage oder die an Steuerungen durchgeführten Tests.
    Überlagerungskatalog
    Überlagerungssteuerungen: Dies sind Richtlinien, die aus Kontrollzielen bestehen und nicht Teil von NIST sind, aber in einem Autorisierungspaket enthalten sein können.
    Profil
    Gemäß NIST bietet das Profilmodell eine strukturierte, maschinenlesbare Darstellung einer Baseline. Das Profilmodell stellt auch eine Baseline ausgewählter Steuerungen aus einem oder mehreren Steuerungskatalogen dar.

    Baseline-Steuerungen: Kleiner Satz von Kontrollzielen, die basierend auf der Auswirkung automatisch ausgefüllt werden. Die Auswirkung wird basierend auf dem Informationstyp eines Autorisierungspakets entschieden.

    • Include-Controls: Dies sind Baseline-Steuerungen, die Teil des Autorisierungspakets sind.
    • Ausschließen-Steuerungen: Dies sind Baseline-Steuerungen, die als nicht zutreffend markiert wurden.

    Profil besteht sowohl aus Katalog als auch aus Überlagerungskatalog.

    Systemsicherheitsplan (SSP)
    Gemäß NIST ermöglicht das OSCAL-SSP-Modell einem Systembesitzer, die Systemimplementierung eines Informationssystems im Kontext einer bestimmten Baseline oder eines bestimmten OSCAL-Profils auszudrücken. Oder stellt eine Beschreibung der Kontrollimplementierung eines Informationssystems dar.
    • Autorisierungsgrenze: Eine Autorisierungsgrenze definiert den Umfang eines bestimmten Systems, das kontinuierlich mit verwaltet und überwacht werden kann CAMAnwendung.
    • Autorisierungspaket: Erstellt zum Zweck der Verarbeitung der Assets oder Systeme durch die sieben vom RMF vorgeschriebenen Schritte. Weitere Informationen finden Sie unter NIST RMF Prozessübersicht.
    • Informationstyp: Der Informationstyp definiert die Auswirkungsstufe des Pakets, die auf der Relevanz des im Schritt „Kategorisieren“ definierten Informationssystems basiert.
    • Steuerung: Wenn Kontrollziele in den Implementierungsstatus wechseln, werden sie zu Steuerungen.
    • Kontrollanforderung: Wenn Kontrollziele in den Implementierungsstatus wechseln, werden sie zu Steuerungen. Dementsprechend werden die Kontrollzielanforderungen in Kontrollanforderung konvertiert.
    • Geerbte Steuerung: Steuerungen, die vollständig vom übergeordneten Autorisierungspaket geerbt werden. Dann bedeutet dies, dass alle Steuerungsanforderungen jeder dieser Steuerungen ebenfalls vollständig geerbt werden.
    • Hybridsteuerung: Diese werden teilweise vom übergeordneten Autorisierungspaket geerbt.