关于满足NIST SP 800-53中所描述的安全控制的建议？

Question

我最近开始从事一个项目，我的部分角色是一个网络安全工程师。通过阅读NIST SP 800-53，我理解分配安全控制的必要性，但是执行符合控制的计划的过程是一个令人费劲的过程。

例如，我知道Splunk将能够满足许多审计控件，但我只知道这一点，因为我以前使用过它。是否有任何出版物或资源为应用程序/方法提供建议以满足这些安全控制？

Answer 1

可能太迟了，但首先，我感觉到了你的痛苦。更重要的是，授权官员(AOs)通常希望控制记录在MS Word中，这是一种不符合当今快速发布CI/CD管道要求的静态解决方案。所以，在亲手写完我的第一篇ATO之后，我发誓再也不这么做了。

首先，看看OpenControl，它定义了一种用于捕获控制状态的机器可读的、基于YAML的语言、系统特定的控制文本描述以及(理想的)验证过程。使用使用OpenControl生成文档的示例项目freedonia-合规对符合性-砌体进行实验。

我已经使用OpenControl在git中为几个联邦客户创建了基于标记的文档。然后可以运行潘多克来创建docs想要的单词。(我还没有找到AO来查看git，因为他们有需要检查的复选框，而git不是其中之一。(事情需要改变.)

您可能还想看看GovReady，这是一家与我们(CivicActions)合作的安全合规公司。我正在使用他们的hyperGRC工具来帮助创建系统安全计划(SSP)文档，我们目前正在探索如何为持续的授权附加实时证据收集和控制验证(RMFv2的咒语)。

下一步是将控制管理直接集成到CI/CD管道中，以便随着配置的改变，遵从性文档也会发生变化。

NIST正致力于一个类似的项目，名为开放安全管制评估语言( OSCAL )，看起来很有希望。我们目前正在处理这两种模式，并且有一个奥斯卡莱，用于从OpenControl转换为OSCAL。