NIST SP 800-53?
私は最近、自分の役割の一部がサイバーセキュリティエンジニアであるプロジェクトに取り組み始めました。 NISTを読むSP 800-53、私は割り当てられたセキュリティ管理の必要性を理解していますが、管理に従うための計画を実装するプロセスは困難なプロセスです。
たとえば、私はSplunkが多くの監査コントロールを満たすことができることを知っていますが、私はそれを以前に使用したことがあるのでそれだけを知っています。これらのセキュリティ制御を満たすために使用するアプリケーション/方法の提案を提供する出版物またはリソースはありますか?
おそらく遅すぎるでしょうが、最初にあなたの痛みを感じます。さらに、承認担当者(AO)は通常、MS Wordで文書化されたコントロールを必要としています。これは、今日のラピッドリリースCI/CDパイプラインの要件に適合しない静的ソリューションです。最初のATOを手で書いた後、二度とそれをしないと誓った。
手始めに、 OpenControl を見てください。これは、制御状態をキャプチャするためのYAMLベースの機械可読言語、システム固有の制御テキストの説明、および(理想的には)検証プロセスを定義しています。ドキュメントの生成に compliance-masonry を使用するサンプルプロジェクト freedonia-compliance を使用してOpenControlを試してください。
OpenControlを使用して、いくつかの連邦政府のクライアント向けにgitでマークダウンベースのドキュメントを作成しました。次に、それに対して pandoc を実行して、AOが必要とするWordドキュメントを作成できます。 (まだ、AOでgitを確認できていません。また、チェックが必要なチェックボックスがあり、gitはその1つではありません。変更する必要があります...)
また、( CivicActions )が提携しているセキュリティコンプライアンス会社である GovReady もご覧になることをお勧めします。私は hyperGRC ツールを使用してシステムセキュリティプラン(SSP)のドキュメントの作成を支援しています。現在、リアルタイムの証拠収集を添付し、継続的な承認のための検証を制御する方法を模索しています(- RMFv2 )。
次のステップは、制御管理をCI/CDパイプラインに直接統合して、構成の変更に応じてコンプライアンスのドキュメントも統合することです。
NISTが取り組んでいる同様のプロジェクト OSCAL(Open Security Controls Assessment Language) が有望に見えます。現在、両方のスキーマを使用しており、OpenControlからOSCALに変換するための oscalkit があります。